Instellingen voor beveiligingscontrole worden niet toegepast op computers met Windows Vista en Windows Server 2008 wanneer u beleid op basis van een domein implementeert

  • Artikel

Dit artikel biedt hulp bij het oplossen van een probleem waarbij beveiligingscontrole-instellingen niet worden toegepast op clientcomputers in een Active Directory-domein wanneer u een beleid op basis van een domein implementeert.

Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 921468

Symptomen

Neem het volgende scenario: U implementeert een beleid op basis van een domein om beveiligingscontrole-instellingen te configureren op Windows Vista- of Windows Server 2008-computers in een Active Directory-adreslijstservicedomein. U voert het hulpprogramma Resultant Set of Policy (RSoP) uit op een van de computers met Windows Vista of Windows Server 2008. Wanneer u dit doet, geeft het hulpprogramma RSoP aan dat het beleid wordt toegepast. Het beleid wordt echter niet daadwerkelijk toegepast op een of meer Windows Vista- of Windows Server 2008-computers.

Oorzaak

Dit probleem treedt op als de beleidsinstelling 'Subcategorieinstellingen voor controlebeleid (Windows Vista of hoger) afdwingen om instellingen voor controlebeleidscategorie te overschrijven' is ingeschakeld in Windows Vista of in Windows Server 2008. De beleidsinstelling kan worden ingeschakeld met behulp van groepsbeleid of handmatig worden ingeschakeld door het register te wijzigen.

U kunt dit probleem oplossen door een van de volgende methoden te gebruiken, afhankelijk van uw situatie.

Oplossing 1: de beleidsinstelling uitschakelen met behulp van groepsbeleid Object Editor

Controleer of de beleidsinstelling is ingeschakeld met behulp van groepsbeleid en schakel de beleidsinstelling vervolgens uit met behulp van groepsbeleid Object Editor. Ga hiervoor als volgt te werk:

  1. Controleer of de beleidsinstelling 'Subcategorieinstellingen voor controlebeleid (Windows Vista of hoger) afdwingen om instellingen voor controlebeleidscategorie te overschrijven' is ingeschakeld met behulp van groepsbeleid. Ga hiervoor als volgt te werk:

    1. Klik op de computer op Start, wijs Alle programma's aan, klik op Accessoires, klik op Uitvoeren, typ rsop.msc in het vak Openen en klik vervolgens op OK.
    2. Vouw Computerconfiguratie uit, vouw Windows-instellingen uit, vouw Beveiligingsinstellingen uit, vouw Lokaal beleid uit en klik vervolgens op Beveiligingsopties.
    3. Dubbelklik op Controle: Instellingen voor subcategorie voor controlebeleid afdwingen (Windows Vista of hoger) om de instellingen voor controlebeleidscategorie te overschrijven.
    4. Controleer of de beleidsinstelling is ingesteld op Ingeschakeld en noteer vervolgens het groepsbeleid-object (GPO).

  2. Schakel de beleidsinstelling 'Subcategorieinstellingen voor auditbeleid (Windows Vista of hoger) afdwingen om instellingen voor controlebeleidscategorie te overschrijven' uit in het groepsbeleidsobject. Ga hiervoor als volgt te werk:

    1. Open in groepsbeleid Object Editor het groepsbeleidsobject.
    2. Vouw Computerconfiguratie uit, vouw Windows-instellingen uit, vouw Beveiligingsinstellingen uit, vouw Lokaal beleid uit en klik vervolgens op Beveiligingsopties.
    3. Dubbelklik op Controle: Instellingen voor subcategorie voor controlebeleid afdwingen (Windows Vista of hoger) om de instellingen voor controlebeleidscategorie te overschrijven.
    4. Klik op Uitgeschakeld en klik vervolgens op OK.

  3. Start de computer of computers opnieuw op.

Oplossing 2: Schakel de beleidsinstelling uit met register Editor

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.

Voer de volgende stappen uit om de beleidsinstelling handmatig uit te schakelen met behulp van Register Editor:

  1. Meld u aan bij Windows Vista of Windows Server 2008 als een gebruiker die lid is van de groep Administrators.
  2. Klik op Start, wijs Alle programma's aan, klik op Accessoires, klik op Uitvoeren, typ regedit in het vak Openen en klik vervolgens op OK. Als het dialoogvenster Gebruikersaccountbeheer op het scherm wordt weergegeven en u wordt gevraagd uw beheerderstoken te verhogen, klikt u op Doorgaan.
  3. Zoek en klik op de registersubsleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
  4. Klik met de rechtermuisknop op SCENoApplyLegacyAuditPolicy en klik vervolgens op Wijzigen.
  5. Typ 0 in het vak Waardegegevens en klik op OK.
  6. Sluit de Register-editor af.
  7. Start de computer opnieuw op.

Opmerking

Als het beleid een beleid op basis van een domein is en het geen lokaal beleid is, moet u mogelijk wachten tot Active Directory-replicatie en SYSVOL-replicatie zijn voltooid voordat de beleidsinstellingen van kracht worden op de computers.

Meer informatie

Met Windows Vista en latere versies van Windows kunt u controlebeleid op een nauwkeurigere manier beheren met behulp van subcategorieën voor controlebeleid. Als u controlebeleid configureert op categorieniveau, overschrijft u subcategorieën voor controlebeleid.

Als u controlebeleid wilt beheren met behulp van subcategorieën voor controlebeleid en u groepsbeleid niet wilt gebruiken, kunt u de registervermelding SCENoApplyLegacyAuditPolicy configureren. Wanneer u de registervermelding SCENoApplyLegacyAuditPolicy configureert, voorkomt u dat controlebeleid op categorieniveau wordt toegepast dat is geconfigureerd met behulp van groepsbeleid of het hulpprogramma Lokaal beveiligingsbeleid.

Houd er echter rekening mee dat de beleidsinstelling mogelijk niet wordt afgedwongen als een ander beleid is geconfigureerd om het controlebeleid op categorieniveau te overschrijven.