Shr*_*ut1 6 windows-server-2008-r2
我不敢相信我这样做了……我在 GPO 中设置了高级审核策略,它关闭了我们所有的基本策略。来自科技网:
使用组策略应用高级审核策略设置后,您只能使用高级审核策略设置为计算机可靠地设置系统审核策略。
没有办法说“没关系,回滚到基本审计”对我来说似乎很奇怪。我们不会将整个网络恢复到旧的备份,因为更改已经实施太久了。
一个类似的问题在这里问上serverfault但答案似乎是“执行相同的方式来配置先进的审计”。如果我别无选择,我会这样做,但我更愿意实际恢复基本审计。
好吧,看来我找到了答案。将子类别设置设置为“禁用”很重要。答案评论中链接的技术文章表明配置不正确......这让我有点困惑。
\n来自http://jmfcomputers.co.uk/blog/?p=202
\n\n\n为了回滚,您需要执行以下操作:
\n\xe2\x97\xa6 重置所有本地高级审核设置。如果您通过 GPO 执行此操作,请重置此 GPO 中的设置。
\n\xe2\x97\xa6 在 2008 计算机上,使用 \xe2\x80\x9cauditpol /clear\xe2\x80\x9d 清除任何本地设置的策略。
\n\xe2\x97\xa6 您必须将本地策略 \xe2\x80\x9cAudit:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置\xe2\x80\x9d 为DISABLED。当您执行此操作并应用它时,您将看到注册表项 HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa \xe2\x80\x93 SCENoApplyLegacyAuditPolicy = 0 (DWORD)
\n\xe2\x97\xa6 然后您需要删除audit.csv 文件。对于基于域的策略,这将位于 SYSVOL 中
\n\xe2\x97\xa6 \\[域]\\sysvol[域]\\策略{GUID}\\计算机\\Microsoft\\Windows NT\\审计
\n\xe2\x97\xa6 对于本地策略,请从所有这些位置删除 Audit.csv。有些可能是隐藏的,但它们确实存在!
\n\xe2\x97\xa6 C:\\Windows\\security\\audit
\n\xe2\x97\xa6 C:\\Windows\\System32\\GroupPolicy\\Machine\\Microsoft\\Windows NT\\Audit
\n现在重新启动或 \xe2\x80\x9cgpupdate /force\xe2\x80\x9d 你应该再次回到开始。
\n顺便说一句,一旦您让 2008 R2 计算机再次应用旧的审核策略,我建议您设置策略 \xe2\x80\x9cAudit:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置\xe2\x80 \x9d 恢复为默认值“未定义”。这样,当您将来通过 GPO 继续使用高级审核设置时,您将不会出现禁用此设置的 2008 R2 服务器(\xe2\x80\x9dfixed\xe2\x80\x9d)然后不会应用新的情况。高级审核设置。为此,只需删除 SCENoApplyLegacyAuditPolicy DWORD 值即可。您将在本地策略中看到,这已将策略设置回\xe2\x80\x9cnot Defined\xe2\x80\x9d。
\n
这似乎已将审核恢复到在我们的网络上启用高级审核之前的状态。
\n| 归档时间: |
|
| 查看次数: |
7646 次 |
| 最近记录: |