Sådan konfigureres omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 921469 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

I artiklen beskrives, hvordan du kan konfigurere omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Microsoft Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne I Windows Vista har du adgang til at styre overvågningspolitikker på et mere omfattende niveau via underkategorier for overvågningspolitik. I artiklen beskrives en fremgangsmåde, som kan benyttes af administratorer til installation af en brugerdefineret overvågningspolitik med omfattende indstillinger for sikkerhedsovervågning på klientcomputere, der kører Windows Vista.

INTRODUKTION

I artiklen beskrives, hvordan du kan konfigurere omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne I Windows Vista har du større kontrol over de individuelle underkategorier for overvågningspolitik end i tidligere versioner af Windows-operativsystemet. De individuelle underkategorier for overvågningspolitik, der er tilgængelige i Windows Vista, vises ikke i grænsefladen for gruppepolitikværktøjerne. Den fremgangsmåde, der beskrives i artiklen, kan benyttes af administratorer til installation af en brugerdefineret overvågningspolitik med omfattende indstillinger for sikkerhedsovervågning på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne.

Yderligere Information

Overvejelser

I det følgende beskrives nogle af de forhold, der skal overvejes, inden den fremgangsmåde, der beskrives i artiklen, benyttes:
  • I den beskrevne fremgangsmåde bruges der eksempelkode. Denne eksempelkode er knyttet til Netlogon-sharet. I eksempelkoden bruges mappen %SystemRoot%\Temp endvidere som cachelager.
  • I den beskrevne fremgangsmåde bruges eksempeldomænet Contoso.com.
  • Fremgangsmåden forudsætter, at følgende betingelser er opfyldt:
    • Du er fortrolig med følgende teknologier og værktøjer:
      • Startscripts for Gruppepolitik
      • GPMC (Group Policy Management Console)
      • Kommandolinjeværktøjet Auditpol.exe
    • Du har en grundlæggende forståelse for håndtering af batchfiler.
    • Du kan konfigurere én overvågningspolitik for Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne. Overvågningspolitikken knyttes til standarddomænepolitikken.
  • Du er fortrolig med de scripts, der benyttes i den beskrevne fremgangsmåde til overskrivning af gamle indstillinger for domænebaseret overvågningspolitik med de omfattende indstillinger for overvågningspolitik, der er tilgængelige i Windows Vista. Du skal kun benytte den fremgangsmåde, der beskrives i artiklen, hvis du vil konfigurere de omfattende indstillinger for overvågningspolitik, der er tilgængelige i Windows Vista.

Konfiguration af omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere

Du kan konfigurere omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne ved at benytte denne fremgangsmåde:

Trin 1: Find frem til de indstillinger for sikkerhedsovervågning, du vil installere på Windows Vista-klientcomputerne

  1. Log på en computer, der kører Windows Vista, som en bruger med administratorrettigheder.
  2. Klik på Start, peg på Alle programmer, klik på Tilbehør, højreklik på Kommandoprompt, og klik derefter på Kør som administrator.
  3. Klik på Fortsæt i dialogboksen Brugerkontokontrol.
  4. Tøm standardindstillingerne for overvågningspolitik. Det kan du gøre ved at skrive følgende linje ved kommandoprompten og derefter trykke på ENTER:
    auditpol /clear
  5. Konfigurer de brugerdefinerede indstillinger, du vil bruge for overvågningspolitik, ved hjælp af kommandolinjeværktøjet Auditpol.exe.

    Skriv f.eks. følgende linjer ved kommandoprompten: Tryk på ENTER efter hver linje.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Bemærk!Du kan få vist alle tilgængelige kategorier og underkategorier ved at skrive følgende linje ved kommandoprompten og derefter trykke på ENTER:
    auditpol /list /subcategory:*
  6. Skriv følgende linje ved kommandoprompten, og tryk derefter på ENTER:
    auditpol /backup /file:auditpolicy.txt
  7. Kopier filen Auditpolicy.txt til Netlogon-sharet for den domænecontroller, som udfører rollen som primær domænecontrolleremulator.

    Filen Auditpolicy.txt indeholder de indstillinger for overvågningspolitik, du har konfigureret. Politikken installeres igen ved hjælp af startscriptet på baggrund af indholdet i denne fil. Når du har kørt startscriptet én gang, er det ikke nødvendigt at genstarte computeren for at opdatere indstillingerne for overvågningspolitik. Du kan opdatere indstillingerne for overvågningspolitik ved at overskrive den tidligere version af filen Auditpolicy.txt, som er blevet kopieret til Netlogon-sharet. Det kan du gøre ved at oprette en ny Auditpolicy.txt-fil og derefter kopiere den nye Auditpolicy.txt-fil til Netlogon-sharet.

Trin 2: Forebyg, at overvågningspolitikken på Windows Vista-klientcomputere overskrives af den gamle overvågningspolitik på domænet

Du kan forhindre, at overvågningspolitikken overskrives af den gamle politik på domænet ved at aktivere indstillingen Tving indstillinger for underkategori for overvågningspolitik (Windows Vista eller nyere) til at tilsidesætte indstillinger for overvågningspolitikkategori. Med denne indstilling forhindres det, at den domænebaserede overvågningspolitik overskriver de omfattende indstillinger for overvågningspolitik, der findes på Windows Vista-klientcomputere. Det kan du gøre ved at benytte denne fremgangsmåde:
  1. Åbn standarddomænepolitikken på en Windows Vista-klientcomputer, der er knyttet til domænet.
  2. Udvid Computerkonfiguration, udvid Windows-indstillinger, udvid Sikkerhedsindstillinger, udvid Lokale politikker, og klik derefter på Sikkerhedsindstillinger.
  3. Dobbeltklik på Overvågning: Tving indstillinger for underkategori for overvågningspolitik (Windows Vista eller nyere) til at tilsidesætte indstillinger for overvågningspolitikkategori.
  4. Klik på Aktiveret, og klik derefter på OK.

Trin 3: Opret de relevante scripts, og føj dem derefter til Netlogon-sharet

Microsoft leverer kun programmeringseksempler som illustration ? uden nogen form for garanti, det være sig udtrykkelig eller underforstået. Dette omfatter, men er ikke begrænset til, det stiltiende ansvar for salgbarhed eller egnethed til bestemte formål. Det forudsættes i denne artikel, at du kender ovennævnte programmeringssprog samt de værktøjer, der bruges til at oprette og udføre fejlfinding af procedurer. Microsofts supportmedarbejdere kan hjælpe med at forklare funktionaliteten i en bestemt procedure, men vil ikke ændre eksemplerne, så de giver større funktionalitet, eller oprette procedurer, der passer specielt til dine behov.
  1. Opret scriptet AuditPolicy.cmd. Det kan du gøre ved at benytte denne fremgangsmåde:
    1. Start Notesblok, og åbn derefter et tomt dokument.
    2. Sæt følgende kode ind i dokumentet i Notesblok:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Alle rettigheder forbeholdes.
      REM eksempelovervågningsscript til installation af Windows Vista
      REM granulære indstillinger for overvågningspolitik.
      
      REM skal køres som et startscript fra Gruppepolitik
      
      REM ###################################################
      REM angiv variabler, så det kun er nødvendigt at redigere filen
      REM navne/stier på ét sted i scriptet
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM ryd logfil & start ny
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM kontroller operativsystemversion
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM spring versioner før Vista over
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM hent domænenavn
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM kopier scriptpolitik til lokal mappe eller afslut
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM opret navngivet planlagt opgave til anvendelse af politik
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM start navngivet planlagt opgave til anvendelse af politik
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. Klik på Gem i menuen Filer.
    4. Klik på Alle filer i feltet Filtype, skriv AuditPolicy.cmd i feltet Filnavn, og klik derefter på Gem.
  2. Opret ApplyAuditPolicy.cmd-scriptet. Det kan du gøre ved at benytte denne fremgangsmåde:
    1. Start Notesblok, og åbn derefter et tomt dokument.
    2. Sæt følgende kode ind i dokumentet i Notesblok:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Alle rettigheder forbeholdes.
      REM eksempelovervågningsscript til installation af Windows Vista
      REM granulære indstillinger for overvågningspolitik.
      
      
      REM ###################################################
      REM angiv variabler, så det kun er nødvendigt at redigere filen
      REM navne/stier på ét sted i scriptet
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM ryd logfil & start ny
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM kontroller operativsystemversion
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM spring versioner før Vista over
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM hent domænenavn
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM slet overvågningsopgave
      REM skal kun bruges til at fjerne pseudopolitikken fra
      REM klientmaskiner (udviklet til fremtidige versioner af Vista,
      REM hvor der ikke længere vil være behov for scriptet, og
      REM scriptet derfor skal udelades).
      
      REM bruges ved at oprette en fil i NETLOGON med et navn,
      REM der passer til indholdet i variablen DeleteAudit (ovenfor)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM kopier overvågningspolitik til lokal mappe
      REM er fejltolerant, eftersom kopien udelukkende er
      REM en "opdatering til cachefilen".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM anvend politik
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. Klik på Gem i menuen Filer.
    4. Klik på Alle filer i feltet Filtype, skriv ApplyAuditPolicy.cmd i feltet Filnavn, og klik derefter på Gem.
  3. Kopier scriptet AuditPolicy.cmd og scriptet ApplyAuditPolicy.cmd til Netlogon-sharet for den domænecontroller, som udfører rollen som primær domænecontrolleremulator.
  4. Vent på, at Active Directory-replikeringen startes. Vent, indtil filer og mapper i den delte mappe på systemenheden (SYSVOL) er blevet replikeret til domænecontrollere på domænet.
  5. Føj startscriptet til standarddomænepolitikken. Det kan du gøre ved at benytte denne fremgangsmåde:
    1. Start værktøjet Active Directory-brugere og -computere.
    2. Højreklik på DomainName, og klik derefter på Egenskaber.
    3. Klik på fanen Gruppepolitik, klik på Standarddomænepolitik, og klik derefter på Rediger. Værktøjet Editor til gruppepolitikobjekter startes.
    4. Udvid Computerkonfiguration, udvid Windows-indstillinger, og klik derefter på Scripts (Start/Lukning).
    5. Dobbeltklik på Start, og klik derefter på Tilføj.
    6. Skriv UNC-stien (universal naming convention) til filen AuditPolicy.cmd, som er placeret i Netlogon-sharet, i feltet Script-navn. Brug følgende format:
      \\FullyQualifiedDomainName\Netlogon\AuditPolicy.cmd
      Du kan f.eks. skrive \\contoso.com\netlogon\auditpolicy.cmd.
    7. Klik på OK to gange.

Trin 4: Kontroller, at indstillingerne for sikkerhedsovervågning anvendes

  1. Vent på, at Active Directory-replikeringen startes. Vent, indtil filer og mapper i den delte mappe på systemenheden (SYSVOL) er blevet replikeret til domænecontrollere på domænet.
  2. Genstart en Windows Vista-klientcomputer, som er knyttet til domænet. Log derefter på computeren som en bruger med administratorrettigheder.
  3. Klik på Start, peg på Alle programmer, og klik derefter på Tilbehør.
  4. Højreklik på Kommandoprompt, og klik derefter på Kør som administrator.
  5. Klik på Fortsæt i dialogboksen Brugerkontokontrol.
  6. Skriv følgende linje ved kommandoprompten, og tryk derefter på ENTER:
    auditpol /get /category:*
  7. Kontroller, at de indstillinger for sikkerhedsovervågning, der vises ved kommandoprompten, svarer til de indstillinger, der blev konfigureret i filen AuditPolicy.txt under "Trin 1: Find frem til de indstillinger for sikkerhedsovervågning, du vil installere på klientcomputerne med Windows Vista".

    I tilfælde af uoverensstemmelse mellem indstillingerne for sikkerhedsovervågning, skal du kigge i den logfil, som oprettes i mappen %SystemRoot%\Temp, når startscriptet køres. Hvis logfilen ikke findes i mappen %SystemRoot%\Temp, skal du undersøge Windows Vista-klientcomputeren for at finde årsagen til, at Gruppepolitik ikke anvendes.

Referencer

Du kan få flere oplysninger om, hvordan startscripts konfigureres i Active Directory, på følgende Microsoft-websteder:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Du kan få flere oplysninger om GPMC (Group Policy Management Console) på følgende Microsoft-websted:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Du kan få flere oplysninger om kommandolinjeværktøjet Auditpol.exe og kommandolinjeværktøjet Schtasks.exe i Hjælp og support til Windows Vista.

Egenskaber

Artikel-id: 921469 - Seneste redigering: 21. februar 2007 - Redigering: 4.0
Oplysningerne i denne artikel gælder:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Nøgleord: 
kbexpertiseinter kbhowto kbinfo KB921469

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com