進階稽核設定的套用

問題

在部署 Domain Controller GPO 後，檢查 進階稽核設定 時發現 GPO 內設定的 進階稽核設定 內原則未套用，但 GPO 內其他原則設定都可以正確套用。

發生原因

稽核原則與進階稽核設定不能同時套用。

解決方式

如需使用進階稽核設定時必須放棄使用稽核原則，且必須啟用 Windows設定-安全性設定-本機原則-安全性選項-稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新的版本) 以覆寫稽核原則類別設定

心得與觀察

在正確部署 GPO 後發現有些主機的本機群組原則中進階稽核設定會出現正確設定；有些則顯示沒有稽核。這是因為使用 auditpol.exe  或 Secpol.msc 查詢群組原則顯示時會有 group policy refresh cycle 的時間差。(詳見參考資料2)


經使用 auditpol.exe 工具檢測後發現其實所有主機都已經正確套用原則。


檢測進階稽核設定是否立即正常套用，指令如下:
auditpol.exe /get /category:*

 

參考資料

1. How to use Group Policy to configure detailed security auditing settings
2. AuditPol and Local Security Policy results may differ