當您部署網域原則時,安全性稽核設定不會套用到 Windows Vista 用戶端電腦

文章翻譯 文章翻譯
文章編號: 921468 - 檢視此文章適用的產品。
Beta 版資訊
本文將會探討 Beta 版的 Microsoft 產品。本文資訊係依「現況」提供,如有變更,恕不另行通知。

對於 Beta 版產品,Microsoft 不會提供正式版的產品支援。如需取得 Beta 版支援的詳細資訊,請參閱 Beta 版產品檔案隨附的文件,或是造訪您先前下載此版本的網站。
重要 本文包含如何修改登錄的相關資訊。修改登錄之前,請務必備份登錄。並且確認您了解如何在發生問題時還原登錄。如需備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
全部展開 | 全部摺疊

徵狀

試想下列案例。假設您要部署一項網域原則,用來設定 Active Directory 目錄服務網域中 Microsoft Windows Vista 用戶端電腦的安全性稽核設定。您在其中一部 Windows Vista 用戶端電腦上執行 [原則結果組] (RSoP) 工具。在您執行這項作業的時候,RSoP 工具表示將會套用這項原則。但是,這項原則並未實際套用到任何 Windows Vista 用戶端電腦。

發生的原因

如果 Windows Vista 用戶端電腦上啟用了 [強制稽核原則子類別目錄設定 (Windows Vista 以後版本) 強制覆蓋稽核原則類別目錄設定] 原則設定,就會發生這種問題。這項原設定則可以透過 [群組原則] 來啟用,也能夠以手動修改登錄的方式啟用。

解決方案

如果要解決這個問題,請根據您的情況,使用下列其中一種方法。

方法 1:使用 [群組原則物件編輯器] 停用這項原則設定。

確認這項原則設定是否是透過 [群組原則] 啟用的,如果是,請使用 [群組原則物件編輯器] 停用這項原則設定。如果要執行這項操作,請依照下列步驟執行:
  1. 確認 [強制稽核原則子類別目錄設定 (Windows Vista 以後版本) 強制覆蓋稽核原則類別目錄設定] 原則設定是否是透過 [群組原則] 啟用的。如果要執行這項操作,請依照下列步驟執行:
    1. 在 Windows Vista 用戶端電腦上,按一下 [開始],指向 [所有程式],按一下 [附屬應用程式],按一下 [執行],在 [開啟] 方塊中輸入 rsop.msc,然後按一下 [確定]
    2. 依序展開 [電腦設定][Windows 設定][安全性設定][本機原則],然後按一下 [安全性選項]
    3. 按兩下 [稽核: 強制稽核原則子類別目錄設定 (Windows Vista 以後版本) 強制覆蓋稽核原則類別目錄設定]
    4. 確認這項原則設定是否設定為 [啟用],並且記下該群組原則物件 (GPO)。
  2. 在這個 GPO 中停用 [強制稽核原則子類別目錄設定 (Windows Vista 以後版本) 強制覆蓋稽核原則類別目錄設定] 原則設定。如果要執行這項操作,請依照下列步驟執行:
    1. 在 [群組原則物件編輯器] 中,開啟這個 GPO。
    2. 依序展開 [電腦設定][Windows 設定][安全性設定][本機原則],然後按一下 [安全性選項]
    3. 按兩下 [稽核: 強制稽核原則子類別目錄設定 (Windows Vista 以後版本) 強制覆蓋稽核原則類別目錄設定]
    4. 按一下 [停用],再按一下 [確定]
  3. 重設啟動 Windows Vista 用戶端電腦或其他電腦。

方法 2:使用 [登錄編輯程式] 停用這項原則設定

警告 如果您使用 [登錄編輯程式] 或其他方法不當地修改登錄,可能會發生嚴重問題。您可能需要重新安裝作業系統,才能解決這些問題。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。如果要以手動方式使用 [登錄編輯程式] 停用這項原則設定,請依照下列步驟執行:
  1. 以 Administrators 群組成員的使用者身分登入 Windows Vista 用戶端電腦。
  2. 按一下 [開始],指向 [所有程式],按一下 [附屬應用程式],按一下 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]。如果看到 [使用者帳戶控制] 對話方塊出現,提示您要升級系統管理員 Token,請按一下 [繼續]
  3. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  4. 以滑鼠右鍵按一下 [SCENoApplyLegacyAuditPolicy],然後按一下 [修改]
  5. [數值資料] 方塊中輸入 0,然後按一下 [確定]
  6. 結束 [登錄編輯程式]。
  7. 重新啟動 Windows Vista 用戶端電腦。
注意 如果該原則是網域原則,而且不是本機原則,您必須等到 Active Directory 複寫和 SYSVOL 複寫完成,然後這項原則設定才會在 Windows Vista 用戶端電腦上生效。

其他相關資訊

Windows Vista (含) 以後版本的 Windows 可以讓您使用稽核原則子類別目錄,以更為精確的方式管理稽核原則。如果您在類別目錄層級設定稽核原則,您將會強制覆蓋稽核原則子類別目錄。

如果您希望使用稽核原則子類別目錄管理稽核原則,而不要使用 [群組原則],您可以設定 SCENoApplyLegacyAuditPolicy 登錄項目。如果設定 SCENoApplyLegacyAuditPolicy 登錄項目,將不會套用以 [群組原則] 或 [本機安全性原則] 工具所設定的類別目錄層級稽核原則。

不過,請務必謹慎處理,因為如果另外又設定了會強制覆蓋類別目錄層級稽核原則的其他原則,這項原則設定將不會強制執行。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
921469 How to use Group Policy to configure detailed security auditing settings for Windows Vista client computers in a Windows Server 2003 domain or in a Windows 2000 domain

屬性

文章編號: 921468 - 上次校閱: 2006年11月23日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
關鍵字:?
kbtshoot kbregistry kbprb kbexpertiseinter KB921468
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com