Windows-Server-2008-R2

應用審計策略,然後在每次 gpupdate 後刪除

  • October 6, 2014

這個問題解決了我的問題,但是解決方案並沒有在我的所有工作站上解決它。今天早上我的一個工作站神奇地自行關閉了審核。每次我執行gpupdate /force審核時都會顯示該策略已應用,然後 2 秒後它們都被刪除。

  • 啟用內置管理員帳戶並設置密碼解決了一個工作站上的問題
  • 第二個工作站在應用後立即終止審計
  • 在啟用和再次關閉的審核之間始終存在 3 次“lsass.exe”“敏感特權使用”審核失敗(事件 ID 4674)。
  • gpresult /h以管理員身份執行顯示 GPO 已成功應用,但未成功應用。
  • winlogon.log 拋出幾個錯誤

Winlogon.log 錯誤:

2014 年 10 月 6 日星期一下午 1:14:53

—-配置引擎初始化成功

—-讀取配置模板資訊…

—-配置使用者權限

SeImpersonatePrivilege must be assigned to administrators. This setting is adjusted.

SeImpersonatePrivilege must be assigned to SERVICE. This setting is adjusted

配置 S-1-5-20

   remove SeImpersonatePrivilege

錯誤 50:不支持該請求。

不支持為此帳戶配置某些使用者權限。通過忽略不支持的操作錯誤重新嘗試配置。

    remove SeImpersonatePrivilege

這一系列錯誤繼續出現幾個 SID。我糊塗了!為什麼其他系統上的解決方案可以解決問題,而在這裡卻沒有解決。

好的,看起來我是在自我回答。

首先,執行我原始問題中引用的 serverfault 答案中列出的步驟。檢查內置管理員是否被禁用/沒有設置密碼。

接下來在 technet 論壇上查看此文章。具有諷刺意味的是,它也指向了我在上週末發表的文章。

以下文件需要移動/刪除,系統需要重新啟動並gpupdate /force需要執行。

  • c:\Windows\security\audit\audit.csv
  • c:\Windows\System32\GroupPolicy\Machine\Microsoft\WindowsNT\Audit\audit.csv
  • c:\Windows\System32\GroupPolicy\gpt.ini

請記住,如果需要在 GPO 中禁用高級審核,請首先查看我的文章,然後進行這些更改。

您要麼有一些非常危險、衝突的 GPO 針對此電腦,要麼系統嚴重損壞,需要重新映像。 S-1-5-20是 的 SID Network Service,你真的不應該編輯它的權限。具體來說,刪除其模擬權限將阻止重要的系統服務執行並使系統不穩定,這就是 Windows 試圖重置該帳戶(以及可能是其他內置帳戶)的權限的原因。

您是嘗試修復和排除系統故障還是進行全新安裝取決於您,但一般來說,全新安裝或重新映像更可取,因為它可以更快更有效地解決問題。您可能會花費數週時間修復那台機器上的作業系統,但仍然找不到所有問題 - 至少,您將面臨一個無法回答的問題,即您是否得到了所有東西。如果您重新映像或重新安裝,您將回到已知的良好狀態,並極大地簡化您的生活。

引用自:https://serverfault.com/questions/633928