本文有助于解决在部署基于域的策略时,安全审核设置不会应用于 Active Directory 域中的客户端计算机的问题。
原始 KB 数: 921468
现象
请考虑以下场景。 部署基于域的策略,以在 Active Directory 目录服务域中基于 Windows Vista 或基于 Windows Server 2008 的计算机上配置安全审核设置。 在基于 Windows Vista 或基于 Windows Server 2008 的计算机之一上运行 Resultant Policy 集 (RSoP) 工具。 执行此操作时,RSoP 工具指示正在应用策略。 但是,该策略实际上不适用于一个或多个基于 Windows Vista 的计算机或基于 Windows Server 2008 的计算机。
原因
如果在 Windows Vista 或 Windows Server 2008 中启用了“强制审核策略子类别设置(Windows Vista 或更高版本)以替代审核策略类别设置”策略设置,则会出现此问题。 可以使用组策略启用策略设置,也可以通过修改注册表手动启用策略设置。
若要解决此问题,请根据需要使用以下方法之一。
解决方法 1:使用组策略对象编辑器禁用策略设置
使用组策略验证策略设置是否已启用,然后使用组策略对象编辑器禁用策略设置。 为此,请按照下列步骤进行操作:
使用组策略验证是否启用了“强制审核策略子类别设置(Windows Vista 或更高版本)以替代审核策略类别设置”策略设置。 为此,请按照下列步骤进行操作:
- 在计算机上,单击“开始”,指向“所有程序”,单击“附件”,单击“运行”,在“打开”框中键入 rsop.msc,然后单击“确定”。
- 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
- 双击“ 审核:强制审核策略子类别设置”(Windows Vista 或更高版本)以替代审核策略类别设置。
- 验证策略设置是否已设置为 “已启用”,然后记下组策略对象(GPO)。
禁用 GPO 中的“强制审核策略子类别设置(Windows Vista 或更高版本)以替代审核策略类别设置”策略设置。 为此,请按照下列步骤进行操作:
- 在组策略对象编辑器中,打开 GPO。
- 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
- 双击“ 审核:强制审核策略子类别设置”(Windows Vista 或更高版本)以替代审核策略类别设置。
- 单击“已禁用”,然后单击“确定”。
重新启动计算机或计算机。
解决方法 2:使用注册表编辑器禁用策略设置
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅:如何备份和还原 Windows 中的注册表。
若要使用注册表编辑器手动禁用策略设置,请执行以下步骤:
- 以管理员组成员身份登录到 Windows Vista 或 Windows Server 2008。
- 单击“开始”,指向“所有程序”,单击“附件”,单击“运行”,在“打开”框中键入 regedit,然后单击“确定”。 如果屏幕上显示“用户帐户控制”对话框并提示你提升管理员令牌,请单击“继续”。
- 找到并单击注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA。 - 右键单击 SCENoApplyLegacyAuditPolicy,然后单击“修改”。
- 在“值数据”框中键入 0,然后单击“确定”。
- 退出注册表编辑器。
- 重新启动计算机。
注意
如果策略是基于域的策略,并且不是基于本地的策略,则可能需要等待 Active Directory 复制和 SYSVOL 复制完成,策略设置才会在计算机上生效。
详细信息
使用审核策略子类别,Windows Vista 和更高版本的 Windows 能够以更精确的方式管理审核策略。 如果在类别级别配置审核策略,则覆盖审核策略子类别。
如果要使用审核策略子类别管理审核策略,并且不想使用组策略,则可以配置 SCENoApplyLegacyAuditPolicy 注册表项。 配置 SCENoApplyLegacyAuditPolicy 注册表项时,将阻止使用组策略或本地安全策略工具配置的类别级审核策略。
但是,请注意,如果将其他策略配置为替代类别级审核策略,则可能不会强制实施策略设置。