вопрос
Я пытаюсь применить объект групповой политики с расширенной политикой аудита безопасности к клиенту Windows 7, но этот параметр не применяется.
Я дважды проверил свою работу, используя эту статью - http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
Я включил Аудит: Принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита.
Когда я запускаю auditpol.exe /get /category:*, я вижу, что применяются только расширенные параметры аудита по умолчанию, а не те, которые я установил в новом объекте групповой политики. Я знаю, что сам объект групповой политики применяется к компьютеру, поскольку присутствуют другие параметры в объекте групповой политики, и RSOP показывает, что объект групповой политики успешно применен.
У нас есть объект GPO выше в структуре OU, который применяет некоторые расширенные параметры аудита, поэтому я подумал, что по какой-то причине он мешает или переопределяет, но они также не отображаются в audpol.exe /get /category:*. Я выполнил audpol.exe /clear, который очищает политику
| |
После audpol.exe / очистить
|
Настройка категории / подкатегории
система
Расширение системы безопасности без аудита
Целостность системы без аудита
Драйвер IPsec без аудита
Другие системные события без аудита
Изменение состояния безопасности Нет аудита
Вход / выход
Вход Нет Аудит
Выйти Нет Аудит
Блокировка учетной записи Нет аудита
Основной режим IPsec без аудита
Быстрый режим IPsec без аудита
Расширенный режим IPsec без аудита
Специальный вход без аудита
Другие события входа / выхода без аудита
Сервер сетевой политики без аудита
Доступ к объекту
Файловая система без аудита
Реестр Нет Аудит
Объект ядра без аудита
СЭМ Нет Аудит
Услуги по сертификации без аудита
Приложение создано без аудита
Обработка манипуляций без аудита
Общий доступ к файлам без аудита
Пакет фильтрации пакета Drop Drop без аудита
Соединение платформы фильтрации без аудита
Другие события доступа к объекту без аудита
Подробный общий доступ к файлам без аудита
Использование привилегий
Чувствительная привилегия Использование Нет Аудит
Не чувствительное использование привилегий без аудита
Другие события использования привилегий Нет аудита
Детальное отслеживание
Завершение процесса без аудита
Деятельность DPAPI без аудита
События RPC без аудита
Создание процесса без аудита
Изменение политики
Изменение политики аудита Нет аудита
Изменение политики аутентификации без аудита
Изменение политики авторизации без аудита
MPSSVC Изменение политики на уровне правил без аудита
Изменение политики платформы фильтрации без аудита
Другие события изменения политики Нет аудита
Управление аккаунтом
Управление учетной записью пользователя Нет аудита
Управление учетными записями компьютеров без аудита
Управление группой безопасности без аудита
Управление группой рассылки без аудита
Управление группой приложений Нет аудита
Другие события управления учетными записями Нет аудита
Изменения службы каталогов DS Access Нет аудита
Репликация службы каталогов без аудита
Подробная репликация службы каталогов без аудита
Доступ к службе каталогов без аудита
Вход в аккаунт
Операции с билетами службы Kerberos без аудита
Другие события входа в учетную запись Нет аудита
Служба аутентификации Kerberos без аудита
Проверка учетных данных без аудита
Затем я выполнил gpupdate /force и перезагрузился, но AuditPol по-прежнему показывает «Нет аудита» для всех настроек.
Я также удалил файл audit.csv, в котором, по-видимому, содержатся параметры объекта групповой политики, расположенные выше в структуре (хотя я читал, что он содержит только локальные параметры), но не новый объект групповой политики в C:\Windows\security\audit и затем выполнил gpupdate /force. После запуска gpupdate /force файл был восстановлен, и в нем отображались параметры по умолчанию и расширенные параметры аудита из объекта групповой политики, расположенные выше в структуре OU, а не новые параметры объекта групповой политики, но auditpol все еще не показывал аудит для всех параметров. Кроме того, дата изменения файла audit.csv была указана несколько месяцев назад, поэтому я подозреваю, что она просто извлекает информацию из исходного объекта групповой политики? Я пытался установить и повысить рейтинг нового объекта групповой политики, но он по-прежнему не применяется.
Среда
Windows 7 SP1 клиент и Windows 2008R2 DC
Любая помощь приветствуется.