Freigeben über

Sicherheitsüberwachungseinstellungen werden nicht auf Windows Vista-basierte und Windows Server 2008-basierte Computer angewendet, wenn Sie eine domänenbasierte Richtlinie bereitstellen

Dieser Artikel enthält Hilfe zum Beheben eines Problems, bei dem Sicherheitsüberwachungseinstellungen nicht auf Clientcomputer in einer Active Directory-Domäne angewendet werden, wenn Sie eine domänenbasierte Richtlinie bereitstellen.

Ursprüngliche KB-Nummer: 921468

Problembeschreibung

Stellen Sie sich folgendes Szenario vor: Sie stellen eine domänenbasierte Richtlinie bereit, um Sicherheitsüberwachungseinstellungen auf Windows Vista- oder Windows Server 2008-basierten Computern in einer Active Directory-Verzeichnisdienstdomäne zu konfigurieren. Sie führen das Tool "Resultsant Set of Policy(RSoP)" auf einem der Windows Vista- oder Windows Server 2008-basierten Computer aus. In diesem Fall gibt das RSoP-Tool an, dass die Richtlinie angewendet wird. Die Richtlinie wird jedoch nicht tatsächlich auf einen oder mehrere Windows Vista- oder Windows Server 2008-basierte Computer angewendet.

Ursache

Dieses Problem tritt auf, wenn die Richtlinieneinstellung "Überwachungsrichtlinienunterkategorien (Windows Vista oder höher) erzwingen" zum Außerkraftsetzen der Richtlinienkategorieeinstellungen für Überwachungsrichtlinien in Windows Vista oder in Windows Server 2008 aktiviert ist. Die Richtlinieneinstellung kann mithilfe von Gruppenrichtlinien aktiviert oder manuell durch Ändern der Registrierung aktiviert werden.

Wenden Sie Ihrer spezifischen Situation entsprechend eine der folgenden Methoden an, um dieses Problem zu beheben.

Lösung 1: Deaktivieren der Richtlinieneinstellung mithilfe des Gruppenrichtlinienobjekt-Editors

Stellen Sie sicher, dass die Richtlinieneinstellung mithilfe von Gruppenrichtlinien aktiviert wurde, und deaktivieren Sie dann die Richtlinieneinstellung mithilfe des Gruppenrichtlinienobjekt-Editors. Gehen Sie dazu wie folgt vor:

  1. Vergewissern Sie sich, dass die Richtlinieneinstellung "Überwachungsrichtlinienunterkategorien (Windows Vista oder höher) erzwingen" zum Außerkraftsetzen der Richtlinienkategorieeinstellungen für Überwachungsrichtlinien mithilfe von Gruppenrichtlinien aktiviert wurde. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf dem Computer auf "Start", zeigen Sie auf "Alle Programme", klicken Sie auf "Zubehör", klicken Sie auf "Ausführen", geben Sie "rsop.msc" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".
    2. Erweitern Sie die Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und klicken Sie dann auf "Sicherheitsoptionen".
    3. Doppelklicken Sie auf "Überwachung": Erzwingen der Unterkategorie "Überwachungsrichtlinie" (Windows Vista oder höher), um Überwachungsrichtlinienkategorieneinstellungen außer Kraft zu setzen.
    4. Stellen Sie sicher, dass die Richtlinieneinstellung auf "Aktiviert" festgelegt ist, und notieren Sie sich dann das Gruppenrichtlinienobjekt (Group Policy Object, GPO).

  2. Deaktivieren Sie die Richtlinieneinstellung "Richtlinienunterkategorien erzwingen" (Windows Vista oder höher) zum Außerkraftsetzen der Richtlinienkategorieeinstellungen für Überwachungsrichtlinien im Gruppenrichtlinienobjekt. Gehen Sie dazu wie folgt vor:

    1. Öffnen Sie im Gruppenrichtlinienobjekt-Editor das Gruppenrichtlinienobjekt.
    2. Erweitern Sie die Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und klicken Sie dann auf "Sicherheitsoptionen".
    3. Doppelklicken Sie auf "Überwachung": Erzwingen der Unterkategorie "Überwachungsrichtlinie" (Windows Vista oder höher), um Überwachungsrichtlinienkategorieneinstellungen außer Kraft zu setzen.
    4. Klicken Sie auf "Deaktiviert" und dann auf "OK".

  3. Starten Sie den Computer oder computer neu.

Lösung 2: Deaktivieren der Richtlinieneinstellung mithilfe des Registrierungs-Editors

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Führen Sie die folgenden Schritte aus, um die Richtlinieneinstellung mithilfe des Registrierungs-Editors manuell zu deaktivieren:

  1. Melden Sie sich bei Windows Vista oder Windows Server 2008 als Benutzer an, der Mitglied der Gruppe "Administratoren" ist.
  2. Klicken Sie auf "Start", zeigen Sie auf "Alle Programme", klicken Sie auf "Zubehör", klicken Sie auf "Ausführen", geben Sie "regedit" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK". Wenn das Dialogfeld "Benutzerkontensteuerung " auf dem Bildschirm angezeigt wird und Sie aufgefordert werden, ihr Administratortoken zu erhöhen, klicken Sie auf "Weiter".
  3. Klicken Sie auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  4. Klicken Sie mit der rechten Maustaste auf SCENoApplyLegacyAuditPolicy, und klicken Sie dann auf " Ändern".
  5. Geben Sie "0 " in das Feld "Wert" ein, und klicken Sie dann auf "OK".
  6. Beenden Sie den Registrierungs-Editor.
  7. Starten Sie den Computer neu.

Notiz

Wenn es sich bei der Richtlinie um eine domänenbasierte Richtlinie handelt und es sich nicht um eine lokal basierte Richtlinie handelt, müssen Sie möglicherweise warten, bis die Active Directory-Replikation und die SYSVOL-Replikation abgeschlossen sind, bevor die Richtlinieneinstellungen auf den Computern wirksam werden.

Weitere Informationen

Mit Windows Vista und höheren Versionen von Windows können Sie Überwachungsrichtlinien präziser verwalten, indem Sie Überwachungsrichtlinienunterkategorien verwenden. Wenn Sie Überwachungsrichtlinien auf Kategorieebene konfigurieren, überschreiben Sie Überwachungsrichtlinienunterkategorien.

Wenn Sie Überwachungsrichtlinien mithilfe von Überwachungsrichtlinienunterkategorien verwalten möchten und keine Gruppenrichtlinie verwenden möchten, können Sie den Registrierungseintrag "SCENoApplyLegacyAuditPolicy" konfigurieren. Wenn Sie den Registrierungseintrag SCENoApplyLegacyAuditPolicy konfigurieren, verhindern Sie, dass Überwachungsrichtlinien auf Kategorieebene, die mithilfe von Gruppenrichtlinien oder dem Tool für lokale Sicherheitsrichtlinien konfiguriert wurden, angewendet werden.

Beachten Sie jedoch, dass die Richtlinieneinstellung möglicherweise nicht erzwungen wird, wenn eine andere Richtlinie so konfiguriert ist, dass die Überwachungsrichtlinie auf Kategorieebene außer Kraft gesetzt wird.