應用審計策略,然後在每次 gpupdate 後刪除
這個問題解決了我的問題,但是解決方案並沒有在我的所有工作站上解決它。今天早上我的一個工作站神奇地自行關閉了審核。每次我執行
gpupdate /force
審核時都會顯示該策略已應用,然後 2 秒後它們都被刪除。
- 啟用內置管理員帳戶並設置密碼解決了一個工作站上的問題
- 第二個工作站在應用後立即終止審計
- 在啟用和再次關閉的審核之間始終存在 3 次“lsass.exe”“敏感特權使用”審核失敗(事件 ID 4674)。
gpresult /h
以管理員身份執行顯示 GPO 已成功應用,但未成功應用。- winlogon.log 拋出幾個錯誤
Winlogon.log 錯誤:
2014 年 10 月 6 日星期一下午 1:14:53
—-配置引擎初始化成功
—-讀取配置模板資訊…
—-配置使用者權限
SeImpersonatePrivilege must be assigned to administrators. This setting is adjusted. SeImpersonatePrivilege must be assigned to SERVICE. This setting is adjusted
配置 S-1-5-20
remove SeImpersonatePrivilege
錯誤 50:不支持該請求。
不支持為此帳戶配置某些使用者權限。通過忽略不支持的操作錯誤重新嘗試配置。
remove SeImpersonatePrivilege
這一系列錯誤繼續出現幾個 SID。我糊塗了!為什麼其他系統上的解決方案可以解決問題,而在這裡卻沒有解決。
好的,看起來我是在自我回答。
首先,執行我原始問題中引用的 serverfault 答案中列出的步驟。檢查內置管理員是否被禁用/沒有設置密碼。
接下來在 technet 論壇上查看此文章。具有諷刺意味的是,它也指向了我在上週末發表的文章。
以下文件需要移動/刪除,系統需要重新啟動並
gpupdate /force
需要執行。
- c:\Windows\security\audit\audit.csv
- c:\Windows\System32\GroupPolicy\Machine\Microsoft\WindowsNT\Audit\audit.csv
- c:\Windows\System32\GroupPolicy\gpt.ini
請記住,如果需要在 GPO 中禁用高級審核,請首先查看我的文章,然後進行這些更改。
您要麼有一些非常危險、衝突的 GPO 針對此電腦,要麼系統嚴重損壞,需要重新映像。
S-1-5-20
是 的 SIDNetwork Service
,你真的不應該編輯它的權限。具體來說,刪除其模擬權限將阻止重要的系統服務執行並使系統不穩定,這就是 Windows 試圖重置該帳戶(以及可能是其他內置帳戶)的權限的原因。您是嘗試修復和排除系統故障還是進行全新安裝取決於您,但一般來說,全新安裝或重新映像更可取,因為它可以更快更有效地解決問題。您可能會花費數週時間修復那台機器上的作業系統,但仍然找不到所有問題 - 至少,您將面臨一個無法回答的問題,即您是否得到了所有東西。如果您重新映像或重新安裝,您將回到已知的良好狀態,並極大地簡化您的生活。