none
稽核原則的疑問 RRS feed

  • 問題

  • 請教一個問題...

    AD裏有兩台DC,在Default domain controller policy設定稽核原則/帳戶管理項目,當進行帳戶新增或刪除等動作時,在兩台DC的Event log(security)都找不到相關稽核記錄,在RSoP裏稽核原則的來源GPO都是default domain controller policy無誤,但其他稽核原則都能正常產生log

    如另外建一個GPO(只設定稽核帳戶管理),並蓋掉原本的default domain contoller policy,則帳戶管理動作的稽核log可正常記錄

    類似此GPO套用不完全的問題,是否有方法可以排除?

    2006年11月13日 上午 02:50

解答

  • 您好:

    若是 Windows Server 2003 網域,並懷疑 Default Domain & Default Domain Controllers Policies 有問題,可使用「DCGPOFix.exe」來重建這兩個預設的群組原則,以下是從 TechNet 網站中節錄下來的相關說明:

    Dcgpofix.exe: Dcgpofix

    Category

    Dcgpofix ships with Windows Server 2003.

    Version compatibility

    You can run Dcgpofix only on servers running Windows Server 2003 family. This tool can restore default domain policy and default domain controllers policy to their original state after installation, except for some security-related settings that are impossible to return to their exact original state. When you run Dcgpofix, you will lose any changes made to these Group Policy objects. For more information about Dcgpofix, type Dcgpofix /? at the command line.

    This tool should be used as a last-resort disaster-recovery tool. A better solution is to use GPMC to back up and restore these GPOs.

     

    2006年11月14日 上午 10:44

所有回覆

  • 您好:

    若是 Windows Server 2003 網域,並懷疑 Default Domain & Default Domain Controllers Policies 有問題,可使用「DCGPOFix.exe」來重建這兩個預設的群組原則,以下是從 TechNet 網站中節錄下來的相關說明:

    Dcgpofix.exe: Dcgpofix

    Category

    Dcgpofix ships with Windows Server 2003.

    Version compatibility

    You can run Dcgpofix only on servers running Windows Server 2003 family. This tool can restore default domain policy and default domain controllers policy to their original state after installation, except for some security-related settings that are impossible to return to their exact original state. When you run Dcgpofix, you will lose any changes made to these Group Policy objects. For more information about Dcgpofix, type Dcgpofix /? at the command line.

    This tool should be used as a last-resort disaster-recovery tool. A better solution is to use GPMC to back up and restore these GPOs.

     

    2006年11月14日 上午 10:44
  • Dcgpofix不可任意使用

    一旦執行會將Group Policy全部還原成預設值

    如果此時你又沒有GPO備份的話.............

    2006年11月14日 下午 02:28
  • 看起來Dcgpofix只能動到default domain policy和default domain controller policy,不會讓自訂的GPO消失吧!

    如果沒有方法可以找出GPO裏稽核原則沒套用的原因,大概也只能用這個工具修復看看了

    其實這是我客戶的問題,我會建議他不要修改Default GPO,盡量使用自訂的GPO,有問題直接砍掉重建吧 :)

    謝謝大大的回覆 :)

    2006年11月15日 上午 01:22
  • 若您客戶的網域是 Windows Server 2003 的,可使用下列步驟來保全舊的 GPO:

    1. 使用 GPMC 將那個有問題的 GPO 備份出來。

    2. 用 DCGPOFix 還原 Default Domain or Domain Controlls Policies。

    這個步驟完成後,您會有新的 Default Domain or Domain Controlls Policies。

    3. 接著建立新的 GPO,將步驟 1 備份的 GPO 匯到這個新建的 GPO。

    這樣一來,新舊 GPO 就全部都能保全了。

    2006年11月15日 上午 02:27