none
AD组策略设置的审核策略无法生效 RRS feed

  • 问题

  • 您好,企业内部ad庈为单林单域环境,林功能级别和域功能级别都是2008R2,DC的操作系统均为2008R2,在Domain Controll OU中新建了一条组策略,其中策略中启用了审核策略,即在计算机配置-策略-Windows设置-安全设置-本地策略-审核策略,配置如图所。但是在域控上使用rsop检查应用的组策略时,发现该设置项有如下报错:策略引擎没有尝试配置此设置。有关更多信息,请在目标机器上查看%windir%\security\logs\winlogon.log。如图2所示,而且在安全日志中也并没有相应的审核事件记录,请问如何处理这个问题呢?


    2018年8月17日 7:01

全部回复

  • 你好,

    这是一个快速通知,让您知道我目前正在对此问题进行研究,并会尽快回复您。

    感谢您的耐心等待。

    如果您在此过程中有任何更新,请随时告诉我们。

    感谢您的理解和支持。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年8月17日 10:04
  • 您好,

    从您的描述中我了解到AD组策略中的审核策略没有生效,并有报错:“策略引擎没有尝试配置此设置。有关更多信息,请在目标机器上查看%windir%\security\logs\winlogon.log。”如果我的理解有误,敬请指出。

    建议请先查看%windir%\security\logs\winlogon.log,检查日志中是否有“旧版审核设置已禁用。 跳过旧版审核设置的配置。”的文字。

    如果没有的话,建议上传或粘贴winlogon.log日志全文给我进一步分析。

    如果有的话,请参考以下解决方案:

    1. 启用【审核:强制审核策略子类别设置(Windows Vista或更高版本)以覆盖审核策略类别设置】策略,路径是:计算机策略 策略 Windows设置 安全设置 本地策略 安全选项。

    2. 启用该策略后检查注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\scenoapplylegacyauditpolicy,成功的话此值会变为0

    3. gpupdate /force更新组策略,查看结果。

    希望以上信息对您有所帮助。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2018年8月20日 8:30
  • 您好,关于审核策略的问题,如果我先前配置了高级审核策略,后面又新增了一条基本审核策略,那是不是以高级审核策略为主,基本审核策略不生效呢?
    2018年8月22日 8:57
  • 您好,

    感谢您的回复。

    这个问题要看具体的审核策略,一般来说,一般审核策略和高级审核策略会各自生成自己的Event log,互不影响。

    Best regards,

    Kallen 


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年8月22日 9:02
  • 参考这个链接(https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff182311(v%3dws.10)#how-can-i-minimize-the-number-of-events-that-are-generated),与您所说的不符,请问是否有这两个审核策略的事件ID的文档呢?
    2018年8月23日 1:33
  • 您好,

    感谢您的回复。

    前面说的是一般情况,高级审核日志和审核日志的组策略设置如果产生冲突,发生冲突时以高级审核日志(Advanced Audit Policy)的配置为准。

    就【审核对象访问】策略来看,高级审核日志中的【审核对象访问】策略下属配置都是各自进行记录。


    审核对象访问的事件日志一般是4663attempt4662success)。

    希望以上信息对您有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已建议为答案 Kallen Wang 2018年11月20日 7:04
    2018年8月27日 1:42
  • 您好,

    只需检查以查看所提供的信息是否有用。如果您需要进一步的帮助,请告诉我们。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月4日 1:36
  • 您好,

    您的问题解决了吗?

    如果您使用我们的解决方案解决了问题,请标记为答案以帮助其他社区成员快速找到有用的回复。

    如果您使用自己的解决方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员来说,这将非常有益。

    如果不是,请回复并告诉我们当前的情况,以便提供进一步的帮助。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月7日 9:48