我正在尝试在 GPO 中启用 Kerberos 身份验证审核,以便将身份验证事件发送到 AD 集成的 Web 过滤器设备,并且说明让我通过以下方式启用 Kerberos 身份验证服务的审核:
Computer Configuration
> Policies
> Windows Settings
> Security Settings
> Advanced Audit Policy Configuration
> System Audit Policies - Local Group Policy Object
> Account Logon
> Audit Kerberos Authentication Service
但是当我查看我的 GPO 对象(例如“默认域控制器策略”)时,我甚至没有看到“安全设置”下的“高级审核策略配置”节点。
我尝试了所有我知道的方法来查明这个高级节点是否需要以某种方式启用,或者是否有其他原因导致它不会出现,但一无所获。我找到的所有东西都只是说它应该一直在那里……
如果重要的话,这是在 Windows Server 2008 功能级别域/林中。
任何帮助是极大的赞赏。
编辑1:受到以下 TheCleaner 回答的提示,我意识到我们的 DC 都是 2008,而不是 R2(我们组织中剩下的最后 2008),这是 2008 R2 的新功能。
我尝试在 2008 R2 成员服务器上安装 GPMC 并在那里设置策略,但它似乎并没有应用于 2008 DC,即使在 gpupdate /force 之后也是如此(我将尝试在今晚重新启动以查看是否有帮助)。
此审计策略设置(“审计 Kerberos 身份验证服务”>“成功”已启用)是否在 2008 年的其他地方可用,或者它是 2008 R2 中添加的新策略设置?
编辑2: 这篇 TechNet 文章似乎表明该策略设置仅适用于 Windows 6.1(Win7/2008R2),但审计事件应该出现在 6.0(Vista/2008)及更高版本上...
我是否应该耐心等待 GPO 应用,还是只是等到重新启动?
编辑3: 好的,我的 5 个 DC 中有 4 个(全部运行 2008)现在遵守“审核 Kerberos 身份验证服务”审核策略,并生成了我需要的安全日志事件,以便它正常工作。我被允许重新启动一个仍未显示 Kerberos 审核事件的 DC,但它仍然没有显示它们。
通常我会执行 RSoP 或 gpresult 来查看哪些设置正在/未应用于此 DC 以及原因,但在这种情况下,两者都省略了“高级审核策略配置”设置,即使在我用来配置它们的 R2 服务器上远程运行时也是如此……
对于解决 2008 GPMC 中未显示的 2008 适用 GPO 设置,有什么建议吗?
答案1
在 2008 R2 DC 上,在 GPMC 中,它应该默认存在(确保您在 2008 R2 DC 中使用 GPMC)。您真的看得够远了吗?它位于列表底部。
如果您没有看到它,您可以尝试右键单击“安全设置”并选择重新加载,但默认情况下它在 2008 R2 中。
答案2
与该问题无关,但可能值得一提:
重要的
无论是使用组策略还是使用登录脚本来应用高级审核策略,都不要同时使用“本地策略\审核策略”下的基本审核策略设置和安全设置\高级审核策略配置下的高级设置。
同时使用高级和基本审核策略设置可能会导致意外结果。
如果您使用高级审核策略配置设置或使用登录脚本(适用于运行 Windows Vista 或 Windows Server 2008 的计算机)来应用高级审核策略,请确保启用本地策略\安全选项下的审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置策略设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。
高级安全审计常见问题解答
http://technet.microsoft.com/en-us/library/ff182311%28v=ws.10%29.aspx#BKMK_3