專有名詞

• Domain Controller(DC):此DC非彼DC，沒有黑暗到不行的設定，但是有Windows Server黑箱到不行的GPO，總之跟那個DC差不多，主要功能就是管理網域內的主機與使用者的帳號密碼。
• Group Policy Object(GPO):管Windows Domain必碰，但是能不碰就盡量不碰，畢竟裡面有些東西很難釐清問題，主要功能就是設定規則給網域內的每一台主機，如果有用OU的話會更容易細調環境。
• Organizational Unit(OU):用群組的方式來劃分網域內的帳號、主機與使用者權限，Windows Domain管理人員最好要學過，佈署測試環境或測試GPO都很好用。
• High availability(HA):類似備援，總之就是提升系統CIA的A，基本上設定備援或Load Balance都可以，這邊就設定幾台DC和AP做HA。
• CIA:confidentiality、integrity、availability，沒什麼好解釋。

環境設置

既然要搞網域內的Log關聯分析，沒有網域沒有Event Log，總之先來介紹一下網域吧!!(簡化很多不是重點的地方，總之就聚焦在網域與Log Server)

架個兩台DC、四台AP互做HA，然後再額外架一台Log Server，從Router設定Load Balance，在AP上架幾個網站，設定Windows Event Log Subscription來將Log送給Log Server，很基本的網域架構，Domain管理新手也可以輕鬆上手，總之就是同一台DC或AP多複製幾個，至於Log Server，因為是在網域裡的Server，架個一台來進行這次的活動就好，個人是偏好架在網域外，這樣才不會輕易被人給弄掉Log。

不過實務上應該是會用我手邊的網域來做，畢竟要有實際流量才能分析XD