Les paramètres d’audit de sécurité ne sont pas appliqués aux ordinateurs Windows Vista et Windows Server 2008 lorsque vous déployez une stratégie basée sur un domaine

  • Article

Cet article fournit de l’aide pour résoudre un problème où les paramètres d’audit de sécurité ne sont pas appliqués aux ordinateurs clients dans un domaine Active Directory lorsque vous déployez une stratégie basée sur un domaine.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 921468

Symptômes

Prenons le cas de figure suivant. Vous déployez une stratégie basée sur un domaine pour configurer les paramètres d’audit de sécurité sur des ordinateurs Windows Vista ou Windows Server 2008 dans un domaine de service d’annuaire Active Directory. Vous exécutez l’outil Jeu de stratégies résultant (RSoP) sur l’un des ordinateurs Windows Vista ou Windows Server 2008. Dans ce cas, l’outil RSoP indique que la stratégie est appliquée. Toutefois, la stratégie n’est pas réellement appliquée à un ou plusieurs ordinateurs Windows Vista ou Windows Server 2008.

Cause

Ce problème se produit si le paramètre de stratégie « Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à remplacer les paramètres de catégorie de stratégie d’audit » est activé dans Windows Vista ou dans Windows Server 2008. Le paramètre de stratégie peut être activé à l’aide de stratégie de groupe ou il peut être activé manuellement en modifiant le Registre.

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction de votre situation.

Résolution 1 : Désactiver le paramètre de stratégie à l’aide de stratégie de groupe Rédacteur d’objets

Vérifiez que le paramètre de stratégie a été activé à l’aide de stratégie de groupe, puis désactivez-le à l’aide de stratégie de groupe Rédacteur d’objets. Pour cela, procédez comme suit :

  1. Vérifiez que le paramètre de stratégie « Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à remplacer les paramètres de catégorie de stratégie d’audit » a été activé à l’aide de stratégie de groupe. Pour cela, procédez comme suit :

    1. Sur l’ordinateur, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, sur Exécuter, tapez rsop.msc dans la zone Ouvrir , puis cliquez sur OK.
    2. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Options de sécurité.
    3. Double-cliquez sur Audit : Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) pour remplacer les paramètres de catégorie de stratégie d’audit.
    4. Vérifiez que le paramètre de stratégie est défini sur Activé, puis notez l’objet stratégie de groupe (GPO).

  2. Désactivez le paramètre de stratégie « Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) pour remplacer les paramètres de catégorie de stratégie d’audit » dans l’objet de stratégie de groupe. Pour cela, procédez comme suit :

    1. Dans stratégie de groupe Rédacteur d’objets, ouvrez l’objet de stratégie de groupe.
    2. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Options de sécurité.
    3. Double-cliquez sur Audit : Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) pour remplacer les paramètres de catégorie de stratégie d’audit.
    4. Cliquez sur Désactivé, puis sur OK.

  3. Redémarrez le ou les ordinateurs.

Résolution 2 : Désactiver le paramètre de stratégie à l’aide du Registre Rédacteur

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Pour désactiver manuellement le paramètre de stratégie à l’aide du Registre Rédacteur, procédez comme suit :

  1. Connectez-vous à Windows Vista ou Windows Server 2008 en tant qu’utilisateur membre du groupe Administrateurs.
  2. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, sur Exécuter, tapez regedit dans la zone Ouvrir , puis cliquez sur OK. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche à l’écran et vous invite à élever votre jeton d’administrateur, cliquez sur Continuer.
  3. Recherchez la sous-clé de Registre suivante, puis cliquez dessus : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
  4. Cliquez avec le bouton droit sur SCENoApplyLegacyAuditPolicy, puis cliquez sur Modifier.
  5. Tapez 0 dans la zone Données de la valeur, puis cliquez sur OK.
  6. Fermez l’Éditeur du Registre.
  7. Redémarrez l'ordinateur.

Remarque

Si la stratégie est une stratégie basée sur un domaine et qu’il ne s’agit pas d’une stratégie locale, vous devrez peut-être attendre la fin de la réplication Active Directory et de la réplication SYSVOL avant que les paramètres de stratégie ne prennent effet sur les ordinateurs.

Plus d’informations

Windows Vista et les versions ultérieures de Windows vous permettent de gérer les stratégies d’audit de manière plus précise à l’aide de sous-catégories de stratégie d’audit. Si vous configurez des stratégies d’audit au niveau de la catégorie, vous remplacez les sous-catégories de stratégie d’audit.

Si vous souhaitez gérer les stratégies d’audit à l’aide de sous-catégories de stratégie d’audit et que vous ne souhaitez pas utiliser stratégie de groupe, vous pouvez configurer l’entrée de Registre SCENoApplyLegacyAuditPolicy. Lorsque vous configurez l’entrée de Registre SCENoApplyLegacyAuditPolicy, vous empêchez l’application des stratégies d’audit au niveau de la catégorie qui ont été configurées à l’aide de stratégie de groupe ou de l’outil Stratégie de sécurité locale.

Toutefois, n’oubliez pas que le paramètre de stratégie peut ne pas être appliqué si une autre stratégie est configurée pour remplacer la stratégie d’audit au niveau de la catégorie.