Mat*_*ert 6 security group-policy windows-server-2012-r2
我在以下配置了几个高级审计策略设置:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Advanced Audit policy Configuration => Audit Policies => ...
此外,以下设置设置为“已启用”:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.
但是,没有应用任何高级审核设置。跑步
auditpol /get /category:*
显示所有设置为“无审计”的选项。此外,没有任何已弃用的审计策略集。
令我惊讶的是,gpresult和rsop.msc都没有显示“高级审计策略”类别。我在这里做错了什么?我的想法不多了。预先感谢您的意见!
[1. 附录]
正在应用同一组策略对象中配置的其他设置。因此可以排除常见的陷阱。
最初的 GPO 包含 MSS 设置
创建一个新的、空的 GPO 并且只设置高级审计配置项,使它们出现在目标服务器上(用 auditpol 检查)。所以GPO本身一定有问题。
[2. 附录]
audit.csv 的非工作版本:
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
audit.csv 的工作版本:
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
这里发生了什么?不手动编辑此文件的任何令人信服的理由?
我意识到这是一个较旧的问题,并且您以不同的方式解决了该问题,但是,它最初不起作用的原因是由于启用了“审核:强制审核策略子类别设置”。正如Technet 上的这篇文章所述:
预计缺少对象访问审核:一旦您开始应用高级审核配置策略,遗留策略将被完全忽略。让 Win7/R2 计算机开始使用旧策略的唯一方法是将安全策略“审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置”设置为禁用。这将禁用较新的策略类型。然后您必须从机器中清除现有的高级策略(auditpol.pol /clear,有一个空白的 audit.csv 文件等)。系统不是最优的,但意图是永远不会让你回去。
我通过以下过程解决了它:
我已从已设置高级审核设置的模板创建了失败的 GPO。我猜 GUID 存在内部不匹配...
| 归档时间: |
|
| 查看次数: |
38503 次 |
| 最近记录: |