none
ドメインのGPOによる監査ポリシーの設定が反映されない(ドメインGPOの設定適用後上書きされる。) RRS feed

  • 質問

  • はじめまして。

    下記の問題で行き詰っており、もし情報をお持ちでしたらご教示いただけると嬉しいです。

    ◆環境・不具合

    ドメインに参加しているWindows2008R2SEとWindows2008R2EEが複数台あります。

    ドメインのouに上記サーバは所属しており、ouに定義したGPOで「ローカルポリシー」の「監査ポリシー」でログオンの成功・失敗の監査を残す設定にしています。

    他のいくつかのWindwso2008R2SEやEEのサーバは上記の設定が正常に反映されたのですが、

    2台(Windows2008R2SE、Windows2008R2EE)のみ監査ポリシーの値が全て「監査しない」になってしまいます。

    上記2台で思い当たるところは下記になります。

    ・ouのGPOを定義する前にはドメイン全体のデフォルトのGPOに所属している時があり、その時にセキュリティオプションの「サブカテゴリの設定(windows Vista 以降)を強制して、監査ポリシーカテゴリの設定を上書きする」を有効にして「監査ポリシーの詳細な構成」にてログオンなどの監査を成功・失敗としていました。その後ouに該当コンピュータを移動させouにGPOを作成しその定義を反映させたところ、該当2台のサーバのみ同事象が発生いたしました。残りの同事象が発生しなかったサーバは同じOSのサーバで「サブカテゴリの設定(windows Vista 以降)を強制して、監査ポリシーカテゴリの設定を上書きする」は未定義の状態でした。

    ・その後「サブカテゴリの設定(windows Vista 以降)を強制して、監査ポリシーカテゴリの設定を上書きする」を無効にしてサーバ再起動をしましたが解消しません。

    ・正常なサーバと比較したところ、「サブカテゴリの設定(windows Vista 以降)を強制して、監査ポリシーカテゴリの設定を上書きする」が未定義であったため不具合サーバの[SCENoApplyLegacyAuditPolicy]レジストリを削除の上再起動をしてみましたが、解消しません。

    ・auditpol で値をセットすると一時的に値は入るのですが、gpupdate /force を実行すると再度上書きされ「監査しない」となってしまいます。

    ・rsop.mscを実行すると、ouのGPOに定義した設定内容がセットされていました。


    ◆イベントログ

    イベントログには下記のようなイベントがあがっています。

    下記をみると、成功、失敗のポリシーを削除していることから、一旦ドメインのGPOで定義された設定は反映された後、

    なにかしらの要因にて削除されているものと考えています。

    ソース:           Microsoft-Windows-Security-Auditing
    イベント ID:       4719
    タスクのカテゴリ:      ポリシーの変更の監査
    キーワード:         成功の監査
    ユーザー:          N/A
    システム監査ポリシーが変更されました。

    サブジェクト:
        セキュリティ ID:        SYSTEM
        アカウント名:        <ホスト名>$
        アカウント ドメイン:        <ドメイン名>
        ログオン ID:        0x3e7

    監査ポリシーの変更:
        カテゴリ:        アカウント ログオン
        サブカテゴリ:        その他のアカウント ログオン イベント
        サブカテゴリ GUID:    {0cce9241-69ae-11d9-bed3-505054503030}
        変更箇所:        成功が削除されました, 失敗が削除されました

    ◆ouのグループポリシーの管理でグループポリシーの結果ウィザードを試したところ下記の拒否されているログはあります。(正しいのか分かりません。)

    適用された GPO非表示
    名前 リンクの場所 リビジョン
    ローカル グループ ポリシー Local AD (12)、Sysvol (12)
    <ポリシー名><ou名>AD (114)、Sysvol (114)

    拒否された GPO非表示
    名前 リンクの場所 拒否された理由
    {31B2F340-016D-11D2-945F-00C04FB984F9}

    2011年7月22日 9:48

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    どのような設定を行われているか分からないので何とも言えないのですが、下記のコメントを拝見した限りでは、KB921468 に記載されている内容が関係しているような気がします。


    > auditpol で値をセットすると一時的に値は入るのですが、gpupdate /force を実行すると再度上書きされ「監査しない」となってしまいます。

    - KB921468
    ドメインベースのポリシーを展開したときに、Windows Vista クライアント コンピュータにセキュリティの監査の設定が適用されない
    http://support.microsoft.com/kb/921468


    本件を解決するためには、ご利用の環境の設定内容を完全に把握する必要があると思いますので、質問者さんの方で頑張って調査していただくしかないと思います。
    まずはドメイン側で作成した全ての GPO とローカルのグループポリシーの内容を整理してみてください。
    (gpupdate で設定が変わるのであれば、やはりポリシーの設定によるものと思われます)

    ポリシーの適用順序(優先度)にも注意していただければと。


    補足:
    ポリシー適用の動作を確認するには、gpsvc.log(XP や Win2003 の場合は Userenv.log) などで調査を行うと何か分かる場合がありますが、それなりにスキルが要求される作業となります。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年8月4日 2:38
    2011年7月29日 4:45
    モデレータ

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    どのような設定を行われているか分からないので何とも言えないのですが、下記のコメントを拝見した限りでは、KB921468 に記載されている内容が関係しているような気がします。


    > auditpol で値をセットすると一時的に値は入るのですが、gpupdate /force を実行すると再度上書きされ「監査しない」となってしまいます。

    - KB921468
    ドメインベースのポリシーを展開したときに、Windows Vista クライアント コンピュータにセキュリティの監査の設定が適用されない
    http://support.microsoft.com/kb/921468


    本件を解決するためには、ご利用の環境の設定内容を完全に把握する必要があると思いますので、質問者さんの方で頑張って調査していただくしかないと思います。
    まずはドメイン側で作成した全ての GPO とローカルのグループポリシーの内容を整理してみてください。
    (gpupdate で設定が変わるのであれば、やはりポリシーの設定によるものと思われます)

    ポリシーの適用順序(優先度)にも注意していただければと。


    補足:
    ポリシー適用の動作を確認するには、gpsvc.log(XP や Win2003 の場合は Userenv.log) などで調査を行うと何か分かる場合がありますが、それなりにスキルが要求される作業となります。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年8月4日 2:38
    2011年7月29日 4:45
    モデレータ
  • mimima さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    mimima さんがこちらの質問を投稿されてから少し経ちましたが、その後の状況はいかがでしょうか?
    弊社の三沢健二が紹介しました KB の内容は、ご確認いただけましたでしょうか?

    mimima さんの現在の状況が気になるところなのですが、、、
    今回、参考情報および確認ポイントとして弊社の三沢の回答を役立てていただけるのではないかと思いましたので、
    勝手ながら、ひとまず私の方で [回答としてマーク] させていただきました。

    もしまだ mimima さんの疑問が解消されないようでしたら、
    弊社の有償サポート窓口へのお問い合わせもご検討いただければと思います。
    http://www.microsoft.com/ja-jp/services/support.aspx

    今後とも、TechNet フォーラムをよろしくお願いします!
    それでは、また。


    __________________________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 服部 清次


    • 編集済み 服部清次 2011年8月4日 2:40 改行の追加
    2011年8月4日 2:40