我不敢相信我是这么做的……我在我们的GPO中设定了一个高级审计政策,并且closures了我们所有的基本政策。 来自Technet :
通过使用组策略应用高级审核策略设置后,您只能使用高级审核策略设置为计算机可靠地设置系统审核策略。
我觉得没有办法说“没关系,回滚到基本的审计”,这似乎很奇怪。 我们不会将整个networking恢复到旧的备份,因为变化已经存在太久了。
在服务器上这里提出了一个类似的问题 ,但答案似乎是“configuration高级审计以相同的方式执行”。 如果我没有其他select,我会这样做,但是我更愿意实际上恢复基本审计。
好吧,看来我find了答案。 重要的是将子类别设置设置为“禁用”。 在评论中链接的technet文章提供了一个不正确的configuration…这使我绊倒了一下。
从http://jmfcomputers.co.uk/blog/?p=202
为了回滚,您需要执行以下操作:
◦重置所有本地高级审核设置。 如果通过GPO执行此操作,请重置此GPO中的设置。
◦在2008计算机上使用“auditpol / clear”清除任何本地设置的策略。
◦必须将本地策略“审核:强制审核策略子类别设置(Windows Vista或更高版本)覆盖审核策略类别设置”设置为“ 禁用” 。 当你这样做,它被应用,你会看到registry项HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa – SCENoApplyLegacyAuditPolicy = 0(DWORD)
◦然后您需要删除audit.csv文件。 对于基于域的策略,这将在SYSVOL中
◦\ [域] \ sysvol [域] \ Policies {GUID} \ Machine \ Microsoft \ Windows NT \ Audit
◦对于本地策略,从所有这些位置删除Audit.csv。 有些可能是隐藏的,但他们在那里!
◦C:\ Windows \ security \ audit
◦C:\ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit
现在重新启动或“gpupdate / force”,你应该重新开始。
顺便说一句,一旦你有了2008 R2机器再次应用旧的审计策略,我会build议将策略“审计:强制审计策略子类别设置(Windows Vista或更高版本)覆盖审计策略类别设置”回到默认的未定义。 通过这种方式,当您将来通过GPO进行高级审核设置时,您将不会遇到禁用了“已修复”此设置的2008 R2服务器将不会应用新的高级审核设置的情况。 为了做到这一点,只需删除SCENoApplyLegacyAuditPolicy DWORD值。 您会在本地策略中看到,这已将策略设置回“未定义”。
这似乎将审计恢复到了在我们的networking上启用高级审计之前的程度。