这个问题解决了我的问题,但解决方案并不能解决我所有工作站的问题。今天早上,我的一个工作站神奇地自行关闭了审核。每次我运行审核时,gpupdate /force
都会显示已应用策略,然后 2 秒后它们全部被删除。
- 启用内置管理员帐户并设置密码可解决一个工作站上的问题
- 第二个工作站在应用后立即终止审计
- 在启用审核并再次关闭之间,总是会出现 3 次“lsass.exe”“敏感权限使用”审核失败(事件 ID 4674)。
gpresult /h
以管理员身份运行显示 GPO 已成功应用,但事实并非如此。- winlogon.log 抛出几个错误
Winlogon.log 错误:
2014 年 10 月 6 日星期一下午 1:14:53
----配置引擎初始化成功
----正在读取配置模板信息...
----配置用户权限
SeImpersonatePrivilege must be assigned to administrators. This setting is adjusted. SeImpersonatePrivilege must be assigned to SERVICE. This setting is adjusted
配置 S-1-5-20
remove SeImpersonatePrivilege
错误 50:不支持该请求。
不支持为该帐户配置某些用户权限。忽略不支持的操作错误,重新尝试配置。
remove SeImpersonatePrivilege
这串错误持续了几个 SID。我感到很困惑!为什么其他系统上的解决方案可以解决问题,而这里却不能。
答案1
好的,看起来我正在自我回答。
首先,执行参考 serverfault 答案来自我最初的问题。检查内置管理员是否被禁用或未设置密码。
下一步检查这个帖子在 Technet 论坛上。讽刺的是,它还指向我发的帖子上周结束时。
以下文件需要移动/删除,系统需要重新启动并且gpupdate /force
需要运行。
- c:\Windows\安全\审计\审计.csv
- c:\Windows\System32\GroupPolicy\Machine\Microsoft\WindowsNT\Audit\audit.csv
- 目录:\Windows\System32\GroupPolicy\gpt.ini
记住,如果需要在 GPO 中禁用高级审核,请先参阅我的帖子然后做出这些改变。
答案2
您要么有一些非常危险、冲突的 GPO 针对此计算机,要么系统严重损坏,需要重新映像。 S-1-5-20
是 的 SID Network Service
,您真的不应该编辑其权限。具体来说,删除其模拟权限将阻止重要的系统服务运行,并使系统不稳定,这就是 Windows 试图重置该帐户(可能还有其他内置帐户)权限的原因。
是否尝试修复和排除系统故障或进行全新安装取决于您自己,但一般来说,全新安装或重新映像是更好的选择,因为这样可以更快、更有效地解决问题。您可能要花数周时间修复该机器上的操作系统,但仍然找不到所有错误 - 至少,您会面临一个无法回答的问题:您是否得到了所有错误。如果您重新映像或重新安装,您将回到已知的良好状态,并极大地简化您的生活。