Säkerhetsgranskningsinställningar tillämpas inte på Windows Vista-baserade datorer och Windows Server 2008-baserade datorer när du distribuerar en domänbaserad princip

  • Artikel

Den här artikeln hjälper dig att lösa ett problem där säkerhetsgranskningsinställningar inte tillämpas på klientdatorer i en Active Directory-domän när du distribuerar en domänbaserad princip.

Gäller för: Windows 10 – alla utgåvor, Windows Server 2012 R2
Ursprungligt KB-nummer: 921468

Symptom

Tänk dig följande scenario: Du distribuerar en domänbaserad princip för att konfigurera säkerhetsgranskningsinställningar på Windows Vista-baserade eller Windows Server 2008-baserade datorer i en Active Directory-katalogtjänstdomän. Du kör verktyget Resultant Set of Policy (RSoP) på någon av de Windows Vista-baserade eller Windows Server 2008-baserade datorerna. När du gör detta anger RSoP-verktyget att principen tillämpas. Principen tillämpas dock inte på en eller flera Windows Vista-baserade datorer eller Windows Server 2008-baserade datorer.

Orsak

Det här problemet uppstår om principinställningen "Framtvinga underkategoriinställningar för granskningsprinciper (Windows Vista eller senare) för att åsidosätta inställningar för granskningsprincipkategori" är aktiverad i Windows Vista eller i Windows Server 2008. Principinställningen kan aktiveras med hjälp av grupprincip eller aktiveras manuellt genom att ändra registret.

Lös problemet genom att använda någon av följande metoder, beroende på vad som är lämpligt för din situation.

Lösning 1: Inaktivera principinställningen med hjälp av grupprincip Object Editor

Kontrollera att principinställningen har aktiverats med hjälp av grupprincip och inaktivera sedan principinställningen med hjälp av grupprincip Object Editor. Gör så här:

  1. Kontrollera att principinställningen "Framtvinga underkategoriinställningar för granskningsprinciper (Windows Vista eller senare) för att åsidosätta inställningar för granskningsprinciper har aktiverats med hjälp av grupprincip. Gör så här:

    1. På datorn klickar du på Start, pekar på Alla program, klickar på Tillbehör, klickar på Kör, skriver rsop.msc i rutan Öppna och klickar sedan på OK.
    2. Expandera Datorkonfiguration, expandera Windows-inställningar, expandera Säkerhetsinställningar, expandera Lokala principer och klicka sedan på Säkerhetsalternativ.
    3. Dubbelklicka på Granskning: Framtvinga underkategoriinställningar för granskningsprinciper (Windows Vista eller senare) för att åsidosätta kategoriinställningarna för granskningsprinciper.
    4. Kontrollera att principinställningen är aktiverad och notera sedan grupprincip-objektet (GPO).

  2. Inaktivera principinställningen "Framtvinga underkategoriinställningar för granskningsprinciper (Windows Vista eller senare) för att åsidosätta inställningar för granskningsprincipkategori" i grupprincipobjektet. Gör så här:

    1. Öppna grupprincipobjektet i grupprincip Object Editor.
    2. Expandera Datorkonfiguration, expandera Windows-inställningar, expandera Säkerhetsinställningar, expandera Lokala principer och klicka sedan på Säkerhetsalternativ.
    3. Dubbelklicka på Granskning: Framtvinga underkategoriinställningar för granskningsprinciper (Windows Vista eller senare) för att åsidosätta kategoriinställningarna för granskningsprinciper.
    4. Klicka på Inaktiverad och klicka sedan på OK.

  3. Starta om datorn eller datorerna.

Lösning 2: Inaktivera principinställningen med hjälp av Registry Editor

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.

Följ dessa steg om du vill inaktivera principinställningen manuellt med hjälp av Registry Editor:

  1. Logga in på Windows Vista eller Windows Server 2008 som en användare som är medlem i gruppen Administratörer.
  2. Klicka på Start, peka på Alla program, klicka på Tillbehör, klicka på Kör, skriv regedit i rutan Öppna och klicka sedan på OK. Om dialogrutan User Account Control (Kontroll av användarkonto ) visas på skärmen och du uppmanas att höja administratörstoken klickar du på Fortsätt.
  3. Leta upp och välj sedan registerundernyckeln: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
  4. Högerklicka på SCENoApplyLegacyAuditPolicy och klicka sedan på Ändra.
  5. Skriv 0 i rutan Värdedata och klicka sedan på OK.
  6. Avsluta Registereditorn.
  7. Starta om datorn.

Obs!

Om principen är en domänbaserad princip och den inte är en lokalt baserad princip kan du behöva vänta tills Active Directory-replikeringen och SYSVOL-replikeringen har slutförts innan principinställningarna börjar gälla på datorerna.

Mer information

Med Windows Vista och senare versioner av Windows kan du hantera granskningsprinciper på ett mer exakt sätt med hjälp av underkategorier för granskningsprinciper. Om du konfigurerar granskningsprinciper på kategorinivå åsidosätter du underkategorier för granskningsprinciper.

Om du vill hantera granskningsprinciper med hjälp av underkategorier för granskningsprinciper och inte vill använda grupprincip kan du konfigurera registerposten SCENoApplyLegacyAuditPolicy. När du konfigurerar registerposten SCENoApplyLegacyAuditPolicy förhindrar du att granskningsprinciper på kategorinivå som konfigurerats med hjälp av antingen grupprincip eller verktyget Lokal säkerhetsprincip tillämpas.

Tänk dock på att principinställningen kanske inte tillämpas om en annan princip har konfigurerats för att åsidosätta granskningsprincipen på kategorinivå.