JAK: Używanie zasad grupy do inspekcji kluczy rejestru w systemie Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 315416 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL315416
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano, jak używać zasad grupy do konfigurowania inspekcji kluczy rejestru w systemie Windows.

Jak utworzyć obiekt zasad grupy

Aby utworzyć obiekt zasad grupy (GPO), którego można używać do włączania inspekcji w domenie, wykonaj następujące kroki:
  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
  2. Kliknij domenę prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
  3. Kliknij kartę Zasady grupy, a następnie kliknij przycisk Nowy.
  4. Wpisz wybraną nazwę dla tej zasady (na przykład Włączenie zasad inspekcji), a następnie naciśnij klawisz ENTER.
  5. Kliknij przycisk Właściwości, a następnie kliknij kartę Zabezpieczenia.
  6. Kliknij, aby wyczyścić pole wyboru Stosowanie zasad grupy dla grup zabezpieczeń, do których nie mają być stosowane te zasady.
  7. Kliknij, aby zaznaczyć pole wyboru Stosowanie zasad grupy dla grup, dla których te zasady mają być stosowane, a następnie kliknij przycisk OK.

Jak włączyć inspekcję w zasadach grupy

Jeśli inspekcja nie jest jeszcze włączona, należy ją włączyć. W domenie należy włączyć inspekcję w obiekcie GPO, który jest połączony z domeną. Na serwerze lub stacji roboczej, która nie jest członkiem domeny, należy włączyć inspekcję w lokalnym obiekcie GPO.

Jak włączyć inspekcję na komputerze, który nie jest członkiem domeny

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
  2. Kliknij domenę prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
  3. Kliknij kartę Zasady grupy, kliknij obiekt zasad grupy, którego chcesz używać, a następnie kliknij przycisk Edytuj.
  4. W węźle Konfiguracja komputera kliknij, aby rozwinąć listę Ustawienia systemu Windows, kliknij, aby rozwinąć listę Ustawienia zabezpieczeń, kliknij, aby rozwinąć listę Zasady lokalne, a następnie kliknij pozycję Zasady inspekcji.
  5. Kliknij dwukrotnie zasadę Przeprowadź inspekcję dostępu do obiektów.
  6. Kliknij, aby zaznaczyć pole wyboru Definiuj w szablonie następujące ustawienia zasad, kliknij, aby zaznaczyć pole wyboru Sukces, kliknij, aby zaznaczyć pole wyboru Niepowodzenie, a następnie kliknij przycisk OK.

    UWAGA: Ustawienie zasady Przeprowadź inspekcję dostępu do obiektów wystarcza do włączenia inspekcji rejestru systemu Windows.
  7. Zakończ działanie przystawki Zasady grupy, a następnie kliknij przycisk Zamknij.

Jak włączyć inspekcję na komputerze, który nie jest członkiem domeny

  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. W polu Otwórz wpisz polecenie gpedit.msc, a następnie kliknij przycisk OK.
  3. W węźle Konfiguracja komputera kliknij, aby rozwinąć listę Ustawienia systemu Windows, kliknij, aby rozwinąć listę Ustawienia zabezpieczeń, kliknij, aby rozwinąć listę Zasady lokalne, a następnie kliknij pozycję Zasady inspekcji.
  4. Kliknij dwukrotnie zasadę Przeprowadź inspekcję dostępu do obiektów.
  5. Kliknij, aby zaznaczyć pole wyboru Definiuj w szablonie następujące ustawienia zasad, kliknij, aby zaznaczyć pole wyboru Sukces, kliknij, aby zaznaczyć pole wyboru Niepowodzenie, a następnie kliknij przycisk OK.

    UWAGA: Zasada Przeprowadź inspekcję dostępu do obiektów wystarcza do włączenia inspekcji rejestru systemu Windows.
  6. Zakończ działanie przystawki Zasady grupy.

Jak dokonać inspekcji klucza rejestru

OSTRZEŻENIE: Nieprawidłowe użycie Edytora Rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych nieprawidłowym użyciem Edytora Rejestru będzie możliwe. Edytora Rejestru używasz na własną odpowiedzialność.
  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. W polu Otwórz wpisz polecenie regedt32, a następnie kliknij przycisk OK.
  3. Zlokalizuj i kliknij klucz rejestru, który chcesz poddać inspekcji, na przykład:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. W menu Zabezpieczenia kliknij polecenie Uprawnienia.
  5. Kliknij przycisk Zaawansowane, kliknij kartę Inspekcja, a następnie kliknij przycisk Dodaj.
  6. Kliknij konto, którego dostęp do tego klucza rejestru chcesz poddać inspekcji, na przykład Użytkownicy uwierzytelnieni, a następnie kliknij przycisk OK.
  7. Kliknij następujące pola wyboru w obszarach Powodzenie i Niepowodzenie:
    Ustawianie wartości
    Utwórz podklucz
  8. Kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.

    Może pojawić się następujący komunikat:
    Bieżące zasady inspekcji dla tego komputera nie mają włączonego trybu inspekcji. Jeżeli komputer pobiera zasady inspekcji z domeny, poproś administratora domeny o włączenie inspekcji przy użyciu Edytora zasad grup. W przeciwnym razie użyj Edytora zasad komputera lokalnego, aby skonfigurować zasady inspekcji lokalnie dla tego komputera.
    Jeśli inspekcja nie jest włączona, należy ją włączyć, postępując zgodnie ze wskazówkami podanymi w sekcji Jak włączyć inspekcję w zasadach grupy w tym artykule.
  9. Kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.
  10. Zamknij Edytor Rejestru.
Zdarzenia inspekcji są wyświetlane w dzienniku zabezpieczeń Podglądu zdarzeń.

Jak używać szablonu zabezpieczeń do inspekcji kluczy rejestru

Można także użyć szablonu zabezpieczeń do inspekcji kluczy rejestru. Aby skonfigurować zasady inspekcji, utwórz niestandardowy szablon zabezpieczeń lub zmodyfikuj istniejący szablon, a następnie użyj zasad grupy do zastosowania szablonu do wielu komputerów w domenie lub jednostce organizacyjnej.

Jak utworzyć szablon zabezpieczeń

Aby utworzyć nowy szablon zabezpieczeń lub zmodyfikować istniejący szablon, wykonaj następujące kroki:
  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. W polu Otwórz wpisz polecenie mmc, a następnie kliknij przycisk OK.
  3. W menu Konsola kliknij polecenie Dodaj/Usuń przystawkę.
  4. Kliknij przycisk Dodaj, a następnie kliknij pozycję Szablony zabezpieczeń.
  5. Kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  6. W folderze głównym konsoli kliknij, aby rozwinąć listę Szablony zabezpieczeń.
  7. Kliknij, aby rozwinąć węzeł dysk:\WINNT\Security\Templates, gdzie dysk to dysk, na którym jest zainstalowany system Windows:
  8. Wykonaj jedną z następujących czynności:
    • Jeśli chcesz zmodyfikować istniejący szablon, kliknij, aby rozwinąć szablon, którego chcesz używać, na przykład hisecws (szablon stacji roboczej o wysokim poziomie zabezpieczeń).

      lub
    • Jeśli chcesz utworzyć nowy szablon zabezpieczeń, wykonaj następujące kroki:
      1. Prawym przyciskiem myszy kliknij węzeł dysk:\WINNT\Security\Templates, a następnie kliknij polecenie Nowy szablon.
      2. Wpisz nazwę, którą chcesz nadać szablonowi, w polu Nazwa szablonu, a następnie kliknij przycisk OK.
      3. Kliknij, aby rozwinąć utworzony nowy szablon.
  9. Kliknij prawym przyciskiem listę Rejestr, a następnie kliknij polecenie Dodaj klucz.
  10. Na liście Rejestr kliknij, aby rozwinąć klucz rejestru, którego chcesz używać, na przykład:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  11. Kliknij przycisk Zaawansowane, kliknij kartę Inspekcja, a następnie kliknij przycisk Dodaj.
  12. Kliknij konto, którego dostęp do tego klucza rejestru chcesz poddać inspekcji, na przykład Użytkownicy uwierzytelnieni, a następnie kliknij przycisk OK.
  13. Na liście Dostęp kliknij, aby zaznaczyć pola wyboru w obszarach Powodzenie i Niepowodzenie dla typów dostępu, które mają być poddane inspekcji dla wybranego użytkownika lub wybranej grupy zabezpieczeń, a następnie kliknij przycisk OK.

    Na przykład kliknij, aby zaznaczyć pola wyboru Ustawianie wartości w obu obszarach Powodzenie i Niepowodzenie.
  14. Kliknij przycisk OK.

    Jeśli pojawi się następujący komunikat, kliknij przycisk OK:
    Bieżące zasady inspekcji dla tego komputera nie mają włączonego trybu inspekcji. Jeżeli komputer pobiera zasady inspekcji z domeny, poproś administratora domeny o włączenie inspekcji przy użyciu Edytora zasad grup. W przeciwnym razie użyj Edytora zasad komputera lokalnego, aby skonfigurować zasady inspekcji lokalnie dla tego komputera.
  15. Kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.
  16. Kliknij, aby rozwinąć listę Zasady lokalne, a następnie kliknij pozycję Zasady prowadzenia inspekcji.
  17. Na liście Zasady kliknij dwukrotnie pozycję Przeprowadź inspekcję dostępu do obiektów.
  18. Kliknij, aby zaznaczyć pole wyboru Definiuj w szablonie następujące ustawienia zasad, kliknij, aby zaznaczyć pole wyboru Sukces, kliknij, aby zaznaczyć pole wyboru Niepowodzenie, a następnie kliknij przycisk OK.

    UWAGA: Ustawienie zasady Przeprowadź inspekcję dostępu do obiektów wystarcza do włączenia inspekcji rejestru systemu Windows.
  19. Zakończ działanie przystawki Szablony zabezpieczeń.
  20. Jeśli zostanie wyświetlone okno dialogowe Zapisywanie szablonów zabezpieczeń, kliknij przycisk Tak, aby zapisać utworzony niestandardowy szablon zabezpieczeń.

Jak zastosować szablon zabezpieczeń

Zasady grupy służą do stosowania szablonu zabezpieczeń, który zawiera skonfigurowane zasady inspekcji. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
  2. Wykonaj jedną z następujących czynności:
    • Jeśli chcesz zastosować szablon zabezpieczeń do całej domeny, kliknij domenę prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.

      lub
    • Jeśli chcesz zastosować szablony zabezpieczeń do jednostki organizacyjnej, kliknij, aby rozwinąć domenę, kliknij prawym przyciskiem myszy jednostkę organizacyjną, a następnie kliknij polecenie Właściwości.
  3. Utwórz obiekt GPO, którego chcesz użyć do zastosowania szablonu zabezpieczeń. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij polecenie Nowy.
    2. Wpisz nazwę, którą chcesz nadać obiektowi GPO, w polu Nowy obiekt zasad grupy (na przykład Zastosuj szablon zabezpieczeń zasad inspekcji), a następnie naciśnij klawisz ENTER.
  4. Na liście Łącza obiektu zasad grupy kliknij żądany obiekt GPO, a następnie kliknij przycisk Edytuj.
  5. W węźle Konfiguracja komputera kliknij, aby rozwinąć listę Ustawienia systemu Windows, kliknij prawym przyciskiem myszy pozycję Ustawienia zabezpieczeń, a następnie kliknij polecenie Importuj zasady.
  6. Kliknij utworzony szablon zabezpieczeń, kliknij, aby zaznaczyć pole wyboru Wyczyść tę bazę danych przed importowaniem, a następnie kliknij przycisk Otwórz.

    UWAGA: Gdy pole wyboru Wyczyść tę bazę danych przed importowaniem jest zaznaczone, wszystkie ustawienia zabezpieczeń w obiekcie GPO są zastępowane przez ustawienia z importowanego szablonu zabezpieczeń.
  7. Zakończ działanie przystawki Zasady grupy, a następnie kliknij przycisk Zamknij.
  8. Zakończ działanie programu Użytkownicy i komputery usługi Active Directory

Rozwiązywanie problemów

Po skonfigurowaniu inspekcji usługa może nie działać. Takie zachowanie może mieć następujące przyczyny:
  • Ustawienie zasad lokacji, domeny lub jednostki organizacyjnej zastępuje skonfigurowane zasady inspekcji. Aby rozwiązać ten problem, wykonaj następujące kroki:
    1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
    2. W polu Otwórz wpisz polecenie gpedit.msc, a następnie kliknij przycisk OK.
    3. W węźle Konfiguracja komputera kliknij, aby rozwinąć listę Ustawienia systemu Windows, kliknij, aby rozwinąć listę Ustawienia zabezpieczeń, kliknij, aby rozwinąć listę Zasady lokalne, a następnie kliknij pozycję Zasady inspekcji.
    4. W okienku Zasady zobacz element w kolumnie Ustawienie efektywne zasady, której chcesz używać.

      Jeśli obowiązującym ustawieniem zasad jest Brak inspekcji, obiekt GPO wyższego poziomu może zastępować skonfigurowane ustawienie zasad inspekcji. Aby potwierdzić to zachowanie, wyświetl elementy obiektu GPO wyższego poziomu, które są połączone z jednostką organizacyjną lub domeną i sprawdź, czy nie ma możliwych konfliktów.
    5. Kliknij, aby zaznaczyć pole wyboru Definiuj w szablonie następujące ustawienia zasad, kliknij, aby zaznaczyć pole wyboru Sukces, kliknij, aby zaznaczyć pole wyboru Niepowodzenie, a następnie kliknij przycisk OK.

      UWAGA: Ustawienie zasady Przeprowadź inspekcję dostępu do obiektów wystarcza do włączenia inspekcji rejestru systemu Windows.
    6. Zakończ działanie przystawki Zasady grupy.
  • Obiekt GPO, który zastępuje ustawienie zasad, ma wyższy priorytet. Aby rozwiązać ten problem, wykonaj następujące kroki:
    1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
    2. W drzewie konsoli kliknij domenę prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
    3. Kliknij kartę Zasady grupy.

      Wyświetl listę Łącza obiektu zasad grupy. Elementy umieszczone na liście wyżej zastępują inne umieszczone niżej.
    4. Jeśli obiekt GPO, który zawiera ustawienie zasad inspekcji jest umieszczony poniżej elementu obiektu GPO o wyższym priorytecie, który wyłącza inspekcję, wykonaj jeden z następujących kroków:
      • Kliknij obiekt GPO, zawierający ustawienie zasad inspekcji, którego chcesz używać, a następnie kliknij przycisk W górę, aby przesunąć go na liście ponad element o wyższym priorytecie.

        OSTRZEŻENIE: Upewnij się, że inne ustawienia w obiekcie GPO nie są w konflikcie z ustawieniami elementów obiektu GPO wymienionymi poniżej.

        lub
      • Dokonaj edycji elementów wymienionych powyżej obiektu GPO, który zawiera ustawienie zasad inspekcji, aby usunąć ustawienia zasad będące w konflikcie.

        UWAGA: Może być potrzebne połączenie ustawień inspekcji z jednego obiektu GPO z ustawieniami z obiektu GPO wyższego poziomu, aby usunąć konflikt zasad inspekcji i zmniejszyć liczbę elementów obiektu GPO.
    5. Po zakończeniu kliknij przycisk OK, a następnie kliknij polecenie Zakończ w menu Konsola.
  • Ustawienie zasad lokacji, domeny lub jednostki organizacyjnej zawiera ustawienie zasad inspekcji, które nie zostało zreplikowane na inne komputery. Aby rozwiązać ten problem, użyj narzędzia wiersza polecenia Secedit.exe w celu wymuszenia odświeżenia zasad grupy. Aby uzyskać dodatkowe informacje dotyczące używania narzędzia Secedit, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    227302 Using SECEDIT to Force a Group Policy Refresh Immediately



Materiały referencyjne

Aby uzyskać dodatkowe informacje dotyczące korzystania z zasad grupy, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
214752 How to Add Custom Registry Settings to Security Configuration Editor
220862 Local Group Policy Settings Do Not Take Effect
227448 Using Secedit.exe to Force Group Policy to Be Applied Again
Aby uzyskać dodatkowe informacje dotyczące inspekcji, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
248260 JAK: Włączanie lokalnej inspekcji zabezpieczeń w systemie Windows 2000
234926 Szablony zabezpieczeń systemu Windows 2000 mają charakter przyrostowy
299475 Windows 2000 Security Event Descriptions (Part 1 of 2)
301677 Windows 2000 Security Event Descriptions (Part 2 of 2)
300549 JAK: Włączanie i stosowanie inspekcji zabezpieczeń w systemie Windows 2000

Właściwości

Numer ID artykułu: 315416 - Ostatnia weryfikacja: 19 września 2003 - Weryfikacja: 4.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbhowto kbhowtomaster KB315416

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com