Windows server 2016 本地计算机策略和本地安全策略，修改后无法保存

Question

您好，我这有几台工作组模式的windows server 2016，在“本地计算机策略”和“本地安全策略”中设置审核策略后，无法保存，退出重新打开就恢复成未设置状态，请问如何排查这个问题？目前没有排查思路，感谢

Answer 1

尊敬的客户，您好！

您试试下面的命令看看，可以通过修改相应的注册表设置，使用 PowerShell 启用或禁用“审核：强制审核策略子类别设置（Windows Vista 或更高版本）覆盖审核策略类别设置”。

要启用此策略，您可以使用以下 PowerShell 命令：

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Lsa' -Name 'SCENoApplyLegacyAuditPolicy' -Value 1

要禁用此策略，您可以使用以下 PowerShell 命令：

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Lsa' -Name 'SCENoApplyLegacyAuditPolicy' -Value 0

请注意，您需要使用管理权限运行 PowerShell 才能修改注册表。

建议您现在一台测试机器上试试，如果没问题的话，再在生产环境的机器上设置。

Best Regards,
Daisy Zhou

Answer 2

尊敬的客户，您好！

感谢您在 Microsoft 社区论坛中发帖。

请问您的意思是不是这些机器都没有加域，然后在“本地计算机策略”和“本地安全策略”中设置审核策略后，无法保存？

无法保存有什么报错信息吗？

具体是哪一条策略设置呢？

在出现这个问题之前，您是否做了什么更改呢？

如果您有任何问题或疑虑，请随时告诉我们。

Best Regards,

Daisy Zhou

Answer 3

您好，老师找到原因了，是因为有一个策略启动了，导致审核策略无法保存，禁用后可以，请问这条策略可以代替审核策略吗 谢谢

Answer 4

尊敬的客户 ，您好！

感谢您的回复。

很高兴您找到了问题的原因。

您截图中的策略，我觉得不能代替审核策略。您截图中的策略的意识如下：

审核：强制审核策略子类别设置（Windows Vista 或更高版本）覆盖审核策略类别设置。

Windows Vista 及更高版本的 Windows 允许使用审核策略子类别以更精确的方式管理审核策略。 在类别级别设置审核策略将覆盖新的子类别审核策略功能。 组策略只允许在类别级别设置审核策略，并且现有组策略可能会在新计算机加入域或升级到 Windows Vista 或更高版本时覆盖其子类别设置。 为了允许使用子类别管理审核策略，而无需更改组策略，Windows Vista 及更高版本中有一个新的注册表值 SCENoApplyLegacyAuditPolicy，它阻止从组策略和本地安全策略管理工具应用类别级审核策略。

如果此处设置的类别级别审核策略与当前生成的事件不一致，则原因可能是设置了此注册表项。

默认值：已启用

子类别和类别请见下面的举例。

C:\Users\Administrator2>auditpol /get /category:*

System audit policy

Category/Subcategory

System 就是指Category

system下面的就是指Subcategory

Security System Extension

System Integrity

IPsec Driver

Other System Events

Security State Change

您如果想设置审核策略。请到下面的路径下设置指定的审核策略。注意：任意一条高级审核策略一旦设置以后，传统的审核策略全部失效。

Computer Configuration\Windows settings\security settings\local policies\audit policy

或者

Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration

Best Regards,
Daisy Zhou

Answer 5

非常感谢您的回复，我想通过powershell脚本关闭这个策略，请问如何编写脚本

策略“审核：强制审核策略子类别设置（Windows Vista 或更高版本）覆盖审核策略类别设置。”