我有一个 Windows Server 2019 域控制器,其中的 GPO 正在对登录事件应用审核。RSOP 显示它已应用,但是,如果我查看事件日志,它应用的那一刻我可以看到它被系统删除了。为什么会发生这种情况?如何强制审核此事件?
答案1
我找到了答案问题但该链接已失效,为了方便未来的用户,我将发布我找到的答案。
前几天有一个有趣的案例出现在我面前。
域控制器策略中的审计策略设置为以下内容,并且没有其他策略阻止或更改这些策略。
---审核目录服务访问成功 GPO 结果的图像
策略更新后记录了以下事件:
--- 审核成功删除事件摘要的图像
此外,auditpol /get /category:* 在策略更新后根本不会显示任何审核:
--- 显示无审计的 cmd 提示符图像
那么,这个疯狂的东西被覆盖在哪里呢?它不在政策中,因为我们仔细检查了所有政策的继承等。
查看客户端实际存储审计策略的位置可能会给我们提供线索(C:\Windows\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv 和 C:\Windows\security)
但那里没有什么有趣的东西。所以,最后要查看的是 sysvol 数据:
M:\SYSVOL\域\策略{CEF3323C-FD89-4C03-9410-18F7A4922E5A}\Machine\microsoft\windows nt\Audit
啊哈!下面是带有标题的 .CSV 文件 - 但其中没有配置数据!
--csv 文件的图像
我们删除了此文件,现在审计策略正确流向 DC,并且生成了审计事件。
奇怪。事实证明,他们已通过 GPOBackup 应用了策略,并且可能在备份之前发生了一些事情。
无论如何 – 希望它有一天能帮助到别人
作者:史蒂夫·帕特里克(spatrick)
以下是文章
谢谢史蒂夫,九年后它帮助了我。