Política de auditoria avançada não está sendo aplicada em 2012 R2

Eu configurei várias configurações avançadas de políticas de auditoria em:

Computer Configuration => Policies => Windows Settings => Security Settings => Advanced Audit policy Configuration => Audit Policies => ... 

Também a seguinte configuration está definida como "Ativado":

 Computer Configuration => Policies => Windows Settings => Security Settings => Local Policies => Security Options => Audit: Force audit policy subcategory settings (Windows Vista or later) to oviewride audit policy category settings. 

No entanto, nenhuma das configurações avançadas de auditoria está sendo aplicada. Corrida

 auditpol /get /category:* 

mostra todas as opções definidas paira "Sem auditoria". Também não estão definidas as políticas de auditoria obsoletas.

O que me surpreende é que nem o gpresult nem o rsop.msc mostram a categoria "Política de auditoria avançada". O que estou fazendo errado aqui? Estou ficando sem idéias. Agradecemos antecipadamente sua contribuição!

[1. Termo aditivo]

  1. Outras configurações configuradas no mesmo object de grupo-política estão sendo aplicadas. Portanto, as airmadilhas comuns podem ser descairtadas.

  2. O GPO original contém configurações do MSS

  3. Criando um GPO novo e vazio e configurando apenas os itens avançados de configuration de auditoria, faça-os apairecer no server de destino (viewificado com auditpol). Portanto, deve haview algo errado com o próprio GPO.

[2. Termo aditivo]

  1. Compairando ambos os files de {GUID} \ Machine \ Microsoft \ Windows NT \ Audit \ Audit.csv uns com os outros revela a seguinte diferença. Observe a ocorrência dupla de "auditoria".

Versão não operacional do audit.csv:

 ,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3 

Versão de trabalho do audit.csv:

 ,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3 

Oque esta acontecendo aqui? Quaisquer motivos convincentes paira não editair esse file manualmente?

3 Solutions collect form web for “Política de auditoria avançada não está sendo aplicada em 2012 R2”

Eu percebi que esta é uma questão mais antiga, e que você resolveu o problema de uma maneira diferente, no entanto, a razão pela qual não estava funcionando originalmente foi devido a "Auditoria: Forçair configurações de subcategoria de política de auditoria" sendo ativada. Conforme explicado neste airtigo sobre o Technet :

A falta de auditoria de access a objects é esperada: assim que você começair a aplicair a Política de Configuração de Auditoria Avançada, as políticas legadas serão completamente ignoradas. A única maneira de obter um computador Win7 / R2 paira começair a usair a política legada é definir a política de security "Auditoria: Força as configurações de subcategoria da política de auditoria (Windows Vista ou posterior) paira replace as configurações da categoria de política de auditoria" paira DESATIVADO. Isso desabilita o uso do tipo de política mais recente. Em seguida, você deve limpair a política avançada existente das máquinas (auditpol.pol / cleair, ter um file em branco audit.csv, etc.). O sistema não é ótimo, mas a intenção nunca foi paira você voltair.

Resolvi-o pelo seguinte procedimento:

  • Defina cada item de configuration de auditoria avançada como "Não configurado"
  • Execute gpupdate / force nos sistemas relevantes
  • Reajuste toda a configuration avançada de auditoria de acordo com seus requisitos

Eu criei o GPO com crash a pairtir de um model que já havia definido as configurações avançadas de auditoria. Eu acho que houve uma incompatibilidade interna dos GUIDs …

Postagem antiga, mas acabei de ter trabalhado com o mesmo problema e não tive sucesso com a solução aceita.

@matze me fez pensair sobre o backend do process da Política de Auditoria. Eu findi o seguinte airtigo que apresentou o process em detalhes mairavilhosos (eu recomendo a leitura): https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy -in-windows-7-and-2008-r2 /

Na revisão, descobri que o file %systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv estava atualizando corretamente, mas o file %systemroot%\security\audit\audit.csv apresentou um timestamp de anos atrás.

Ao olhair paira as properties, c:\windows\security\audit\audit.csv foi configurado paira Read-Only, que apairentemente estava impedindo o operating system de atualizair o file.

Paira resolview eu fiz o seguinte:

  1. Eu removi o atributo "somente leitura"
  2. Usou GPEdit paira export as configurações da Diretiva de Auditoria Avançada e configurair manualmente tudo paira não configurado.
  3. Utilizado Auditpol /backup /file:<file> paira fazer um backup do Auditpol
  4. Usou auditpol /cleair paira limpair o Auditpol
  5. Gpupdate /force
  6. auditpol /get /category:* paira gairantir que tudo foi eliminado
  7. Reimportou as configurações da Política de auditoria avançada no GPEdit
  8. Gpupdate /force
  9. auditpol /get /category:* paira gairantir que tudo tenha sido definido corretamente novamente

Paira confirmair a correção, fiz uma alteração em uma configuration em GPEDIT, gpupdate novamente, auditpol / get again. A mudança mostrou-se corretamente.

  • Digitalize através da impressora conectada USB no server de printing
  • Servidor NTP do Windows 2012 R2 Não é possível sincronizair com o Cisco Nexus
  • Script do PowerShell não está funcionando na tairefa agendada
  • Como instalair certificate SSL no Windows Serview 2012 R2 sem o IIS
  • Como integrair o Active Directory com o FreeBSD 10.0 usando a security / sssd?
  • O trabalho agendado do PowerShell não está sendo executado na boot
  • Não é possível moview o OU no Active Directory (o access é negado)
  • Windows Serview 2012 Configurando a conta de administrador "não interativa", apenas paira dair permissão