审计策略被“某些东西”覆盖

审计策略被“某些东西”覆盖

我正在安装供应商软件,该软件要求在我们的 DC 上启用帐户审计。问题是审计策略未被推行。检查 secpol.msc 显示 Windows 设置->安全设置->本地策略->审计策略为“无审计”。无论我做什么,我都无法解决这个问题。我试过:

  • 在默认域控制器级别设置策略。目前 RSOP 显示这是获胜的 GPO,成功\失败设置正确。然而在 DC 上,secpol.msc 显示“无审核”,选项为灰色。
  • 我们从默认域和默认域控制器策略中删除了该策略。这使我们能够在 secpol.msc 中本地操作策略。运行 GPUPDATE 时,这些策略会恢复为“无审核”。
  • 我们尝试在默认域控制器策略、默认域策略以及这些策略的组合中进行此项设置。
  • 我们尝试在 Windows 设置->安全设置->本地策略->安全选项中的多个位置禁用“强制审计策略”。

不应有其他政策优先,并且如上所述,RSOP 显示默认域控制器政策获胜。

我通常是一名 Linux 管理员,但对此感到困惑。如能得到任何帮助,我将不胜感激

答案1

您可能需要查看帮助网站上的以下警告:

“同时使用本地策略\审核策略下的基本审核策略设置和高级审核策略配置下的高级设置可能会导致意想不到的结果。因此,不应将两组审核策略设置组合在一起。如果使用高级审核策略配置设置,则应启用本地策略\安全选项下的审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置策略设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。

哪些版本的 Windows 支持高级审核策略配置?
https://technet.microsoft.com/en-us/library/dd692792(WS.10).aspx

答案2

答案3

上述博客现位于:https://docs.microsoft.com/en-us/archive/blogs/spatdsg/audit-policy-not-registering-audits

解决方案引用了查找“audit.csv”文件阻止应用审计策略,删除文件导致应用正确的审计策略。文件位于:

C:\Windows\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv

目录:\Windows\安全

M:\SYSVOL\域\策略{CEF3323C-FD89-4C03-9410-18F7A4922E5A}\Machine\microsoft\windows nt\Audit

相关内容