我希望检索已加入域的 PC 上的安全审计配置,该 PC 已通过域 GPO 应用了审计设置,但我得到的结果似乎是相互矛盾的。如果我运行 RSOP,我会看到 aduting 设置,但Auditpol /get /category:"Logon/Logoff"显示无审计。同样,本地安全策略 UI 或 secedit 导出都显示无审计(AuditLogonEvents = 0)。请参阅下面的屏幕截图。我知道有一个旧版和高级版的审计,可以通过SCENoApplyLegacyAuditPolicy下面的注册表项确定HKLM\System\CurrentControlSet\Control\LSA,但我根本看不到有问题的这台机器上的注册表项。我如何在任何情况下准确获取审计设置?
答案1
Auditpol 用于高级审计策略设置。
屏幕截图中配置的策略设置是旧版审核策略设置。要查看这些设置,请使用:
secedit /export /areas SECURITYPOLICY /cfg Filename.txt
