Windows Server 2003- tai Windows 2000 -toimialueen Windows Vista -asiakastietokoneiden yksityiskohtaisten suojauksen valvonnan asetusten määrittäminen ryhmäkäytännön avulla

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 921469 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Tässä artikkelissa kuvataan, miten Windows Server 2003- tai Windows 2000 -toimialueen Microsoft Windows Vista -asiakastietokoneiden yksityiskohtaisten suojauksen valvonnan asetukset määritetään ryhmäkäytännön avulla. Windows Vista antaa hallita valvontakäytäntöjä entistä yksityiskohtaisemmalla tasolla valvontakäytäntöjen aliluokkien avulla. Tässä artikkelissa kuvataan toimet, joiden avulla järjestelmänvalvojat voivat ottaa käyttöön mukautetun valvontakäytännön, joka ottaa käyttöön yksityiskohtaiset suojauksen valvonnan asetukset Windows Vista -asiakastietokoneille.

ESITTELY

Tässä artikkelissa kerrotaan, miten Windows Server 2003- tai Windows 2000 -toimialueen Windows Vista -asiakastietokoneiden yksityiskohtaiset suojauksen valvonnan asetukset määritetään ryhmäkäytännön avulla. Windows Vistassa pystyt hallitsemaan yksittäisiä valvontakäytäntöjen aliluokkia paremmin kuin Windows-käyttöjärjestelmien aiemmissa versioissa. Windows Vistassa käytettävissä olevia yksittäisiä valvontakäytäntöjen aliluokkia ei näy ryhmäkäytäntötyökalujen käyttöliittymässä. Järjestelmänvalvojat voivat tehdä tässä artikkelissa kuvatut toimet ja ottaa käyttöön mukautetun valvontakäytännön, joka ottaa käyttöön yksityiskohtaiset suojauksen valvonnan asetukset Windows Server 2003- tai Windows 2000 -toimialueen Windows Vista -asiakastietokoneissa.

Enemmän tietoa

Huomioon otettavia seikkoja

Seuraavassa on joitakin seikkoja, jotka on otettava huomioon, ennen kuin tässä artikkelissa kuvatut toimet tehdään:
  • Näissä toimissa käytetään mallikoodia. Mallikoodi käyttää jaettua Netlogon-resurssia. Lisäksi mallikoodi käyttää välimuistina %SystemRoot%\Temp-kansiota.
  • Näissä toimissa käytetään Contoso.com-mallitoimialuetta.
  • Toimissa oletetaan, että seuraavat ehdot toteutuvat:
    • Tunnet seuraavat tekniikat ja työkalut:
      • ryhmäkäytännön käynnistyskomentosarjat
      • Ryhmäkäytäntöjen hallintakonsoli
      • Auditpol.exe-komentorivityökalu.
    • Osaat komentojonotiedostojen käsittelyn perusteet.
    • Voit määrittää yhden valvontakäytännön Windows Server 2003- tai Windows 2000 -toimialueen Windows Vista -asiakastietokoneille. Valvontakäytäntö määitetään toimialueen oletuskäytäntöön.
  • Tunnet toimissa käytettävät komentosarjat, joiden avulla korvataan toimialueen valvontakäytäntöasetukset Windows Vistassa käytettävissä olevilla yksityiskohtaisilla valvontakäytäntöasetuksilla. Jos et halua määrittää Windows Vistassa käytettävissä olevia yksityiskohtaisia valvontakäytäntöasetuksia, älä tee tässä artikkelissa kuvattuja toimia.

Yksityiskohtaisten suojauksen valvonnan asetusten määrittäminen Windows Vista -asiakastietokoneille ryhmäkäytännön avulla

Voit määrittää Windows Server 2003- tai Windows 2000 -toimialueen Windows Vista -asiakastietokoneiden yksityiskohtaiset suojauksen valvonnan asetukset ryhmäkäytännön avulla tekemällä nämä toimet.

Vaihe 1: Selvitä, mitkä suojauksen valvonnan asetukset haluat ottaa käyttöön Windows Vista -asiakastietokoneissa

  1. Kirjaudu Windows Vista -tietokoneeseen järjestelmänvalvojan oikeudet omistavana käyttäjänä.
  2. Napsauta Käynnistä-painiketta, valitse Kaikki ohjelmat, valitse Apuohjelmat, napsauta hiiren kakkospainikkeella Komentorivi-kohtaa ja valitse sitten Suorita järjestelmänvalvojana.
  3. Valitse Käyttäjätilien hallinta -valintaikkunassa Jatka.
  4. Tyhjennä oletusarvon mukaiset valvontakäytäntöasetukset. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavan rivin ja painamalla sitten ENTER-näppäintä:
    auditpol /clear
  5. Määritä haluamasi mukautetut valvontakäytäntöasetukset Auditpol.exe-komentorivityökalun avulla.

    Kirjoita esimerkiksi seuraavat rivit komentokehotteeseen. Paina ENTER-näppäintä kunkin rivin jälkeen.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Huomautus Voit tarkastella kaikkia mahdollisia luokkien ja aliluokkien yhdistelmiä kirjoittamalla seuraavan rivin komentokehotteeseen ja painamalla sitten ENTER-näppäintä:
    auditpol /list /subcategory:*
  6. Kirjoita komentokehotteeseen seuraava rivi ja paina sitten ENTER-näppäintä:
    auditpol /backup /file:auditpolicy.txt
  7. Kopioi Auditpolicy.txt-tiedosto jaettuun Netlogon-resurssiin siinä toimialueen ohjauskoneessa, jolla on toimialueen pääohjauskoneen emulaattorirooli.

    Auditpolicy.txt-tiedosto sisältää kaikki määrittämäsi valvontakäytäntöasetukset. Käynnistyskomentosarja ottaa käytännön uudelleen käyttöön tämän käynnistyskomentosarjan avulla. Kun olet ottanut käynnistyskomentosarjan onnistuneesti käyttöön kerran, sinun ei tarvitse käynnistää tietokonetta uudelleen valvontakäytäntöasetusten päivittämistä varten. Voit päivittää valvontakäytäntöasetukset korvaamalla jaettuun Netlogon-resurssiin kopioimasi Auditpolicy.txt-tiedoston aiemman version. Voit tehdä tämän luomalla uuden Auditpolicy.txt-tiedoston ja kopioimalla sitten uuden Auditpolicy.txt-tiedoston jaettuun Netlogon-resurssiin.

Vaihe 2: Estä vanhaa toimialueen valvontakäytäntöä korvaamasta valvontakäytäntö Windows Vista -asiakastietokoneissa

Voit estää vanhaa toimialueen käytäntöä korvaamasta valvontakäytäntöä ottamalla Pakota valvontakäytännön aliluokan asetukset (Windows Vista tai myöhempi) korvaamaan valvontakäytännön luokan asetukset -käytäntöasetuksen käyttöön. Tämä estää toimialueen valvontakäytäntöä korvaamasta yksityiskohtaisempia valvontakäytäntöasetuksia Windows Vista -asiakastietokoneissa. Voit tehdä tämän seuraavasti:
  1. Avaa toimialueen oletuskäytäntö toimialueelle liitetyssä Windows Vista -asiakastietokoneessa.
  2. Laajenna Tietokoneasetukset, laajenna Windows-asetukset, laajenna Suojausasetukset, laajenna Paikalliset käytännöt ja valitse sitten Suojausasetukset.
  3. Kaksoisnapsauta Jäljitys: Pakota valvontakäytännön aliluokan asetukset (Windows Vistassa tai uudemmassa Windowsin versiossa) valvontakäytännön luokan asetuksien sijaan -kohtaa.
  4. Valitse Käytössä ja valitse sitten OK.

Vaihe 3: Luo komentosarjat ja lisää ne sitten jaettuun Netlogon-resurssiin

Microsoftin tarjoamat ohjelmointiesimerkit ovat vain ohjeellisia, eikä niihin liity mitään nimenomaisesti ilmaistua tai oletettua takuuta, mukaan lukien oletettu takuu tuotteen soveltuvuudesta kaupankäynnin kohteeksi tai sopivuudesta johonkin tiettyyn tarkoitukseen. Tässä artikkelissa oletetaan, että olet perehtynyt käytettyyn ohjelmointikieleen sekä työkaluihin, joita käytetään prosessien luomisessa sekä virheiden jäljittämisessä ja korjaamisessa. Microsoftin tukipalvelun asiantuntijat voivat auttaa tietyn toiminnon toteuttamisessa, mutta he eivät muokkaa näitä esimerkkejä niiden kuvaamien toimintojen parantamiseksi eivätkä esitä ratkaisuja erityistarpeita varten.
  1. Luo AuditPolicy.cmd-komentosarja. Voit tehdä tämän seuraavasti:
    1. Käynnistä Muistio ja avaa tyhjä asiakirja.
    2. Liitä seuraava koodi asiakirjaan Muistiossa:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Kaikki oikeudet pidätetään.
      REM Windows Vistan käyttöönoton valvontakomentosarjan malli
      REM Valvontakäytäntöasetukset.
      
      REM Tulee suorittaa käynnistyskomentosarjana ryhmäkäytännöstä
      
      REM ###################################################
      REM Ilmoita muuttujat niin, että nimiä ja polkuja tarvitsee
      REM muokata vain yhdessä komentosarjan sijainnissa
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Tyhjennä loki ja aloita alusta
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Tarkista käyttöjärjestelmän versio
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Ohita Vistaa aiemmat
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Nouda toimialueen nimi
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Kopioi komentosarja ja käytäntö paikalliseen kansioon tai lopeta
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Luo nimetty ajoitettu tehtävä käytännön käyttöönottoa varten
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Käynnistä nimetty ajoitettu tehtävä käytännön käyttöönottoa varten
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. Valitse Tiedosto-valikosta Tallenna.
    4. Valitse Tallennusmuoto-ruudussa Kaikki tiedostot, kirjoita Tiedostonimi-ruutuun AuditPolicy.cmd ja valitse sitten Tallenna.
  2. Luo ApplyAuditPolicy.cmd-komentosarja. Voit tehdä tämän seuraavasti:
    1. Käynnistä Muistio ja avaa tyhjä asiakirja.
    2. Liitä seuraava koodi asiakirjaan Muistiossa:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Kaikki oikeudet pidätetään.
      REM Windows Vistan käyttöönoton valvontakomentosarjan malli
      REM Valvontakäytäntöasetukset.
      
      
      REM ###################################################
      REM Ilmoita muuttujat niin, että nimiä ja polkuja tarvitsee
      REM muokata vain yhdessä komentosarjan sijainnissa
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Tyhjennä loki ja aloita alusta
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Tarkista käyttöjärjestelmän versio
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Ohita Vistaa aiemmat
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Nouda toimialueen nimi
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Poista valvontatehtävä
      REM Tulee käyttää vain poistamaan pseudokäytäntö
      REM asiakaskoneista (suunniteltu tuleville Vista-versioille,
      REM joissa tätä komentosarjaa ei enää tarvita ja joissa
      REM tämä komentosarja on poistettava käytöstä).
      
      REM Käytä luomalla Netlogon-resurssiin tiedosto, jonka nimi
      REM vastaa DeleteAudit-muuttujan sisältöä (yllä)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Kopioi valvontakäytäntö paikalliseen kansioon
      REM Tämä mahdollistaa vikasietoisuuden, koska kopio
      REM on vain välimuistin päivitys.
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Ota käytäntö käyttöön
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. Valitse Tiedosto-valikosta Tallenna.
    4. Valitse Tallennusmuoto-ruudussa Kaikki tiedostot, kirjoita Tiedostonimi-ruutuun ApplyAuditPolicy.cmd ja valitse sitten Tallenna.
  3. Kopioi AuditPolicy.cmd- ja ApplyAuditPolicy.cmd-komentosarjat jaettuun Netlogon-resurssiin siinä toimialueen ohjauskoneessa, jolla on toimialueen pääohjauskoneen emulaattorirooli.
  4. Odota, kunnes Active Directory -replikointi tehdään. Odota myös, kunnes kaikki järjestelmäaseman (SYSVOL) jaetun kansion tiedostot ja kansiot replikoidaan toimialueen ohjauskoneisiin.
  5. Lisää käynnistyskomentosarja toimialueen oletuskäytäntöön. Voit tehdä tämän seuraavasti:
    1. Käynnistä Active Directoryn käyttäjät ja tietokoneet -työkalu.
    2. Napsauta hiiren kakkospainikkeella ToimialueenNimi-kohtaa ja valitse sitten Ominaisuudet.
    3. Valitse Ryhmäkäytäntö-välilehti, valitse toimialueen oletuskäytännön vaihtoehto ja valitse sitten Muokkaa. Ryhmäkäytäntöobjektieditori käynnistyy.
    4. Laajenna Tietokoneasetukset, laajenna Windows-asetukset ja valitse sitten Komentosarjat (Käynnistäminen/Sammuttaminen).
    5. Kaksoisnapsauta Käynnistys-kohtaa ja valitse sitten Lisää.
    6. Kirjoita Komentosarjan nimi -ruutuun jaetussa Netlogon-resurssissa sijaitsevan AuditPolicy.cmd-tiedoston UNC-polku. Käytä seuraavaa muotoa:
      \\TäydellinenToimialuenimi\Netlogon\AuditPolicy.cmd
      Kirjoita esimerkiksi \\contoso.com\netlogon\auditpolicy.cmd.
    7. Valitse OK kahdesti.

Vaihe 4: Varmista, että suojauksen valvonnan asetukset on otettu käyttöön onnistuneesti

  1. Odota, kunnes Active Directory -replikointi tehdään. Odota myös, kunnes kaikki järjestelmäaseman (SYSVOL) jaetun kansion tiedostot ja kansiot replikoidaan toimialueen ohjauskoneisiin.
  2. Käynnistä toimialueelle liitetty Windows Vista -asiakastietokone uudelleen. Kirjaudu sitten tietokoneeseen käyttäjänä, jolla on järjestelmänvalvojan oikeudet.
  3. Napsauta Käynnistä-painiketta, valitse Kaikki ohjelmat ja valitse sitten Apuohjelmat.
  4. Napsauta hiiren kakkospainikkeella Komentorivi-kohtaa ja valitse sitten Suorita järjestelmänvalvojana.
  5. Valitse Käyttäjätilien hallinta -valintaikkunassa Jatka.
  6. Kirjoita komentokehotteeseen seuraava rivi ja paina sitten ENTER-näppäintä:
    auditpol /get /category:*
  7. Varmista, että komentokehotteessa näkyvät suojauksen valvonnan asetukset vastaavat Vaihe 1: Selvitä, mitkä suojauksen valvonnan asetukset haluat ottaa käyttöön Windows Vista -asiakastietokoneissa -osassa luomassasi AuditPolicy.txt-tiedostossa määritettyjä asetuksia.

    Jos suojauksen valvonnan asetukset eivät vastaa toisiaan, tarkastele käynnistyskomentosarjan %SystemRoot%\Temp-kansioon luomia lokitiedostoja. Jos %SystemRoot%\Temp-kansiossa ei ole lokitiedostoja, tarkastele Windows Vista -asiakastietokonetta ja selvitä, miksi ryhmäkäytäntöä ei otettu käyttöön.

Suositukset

Lisätietoja käynnistyskomentosarjojen määrittämisestä Active Directoryssä saat seuraavista Microsoftin Web-sivustoista:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Lisätietoja Ryhmäkäytäntöjen hallintakonsolista on seuraavassa Microsoftin Web-sivustossa:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Lisätietoja Auditpol.exe- ja Schtasks.exe-komentorivityökaluista on Windows Vistan Ohje ja tuki -toiminnossa.

Ominaisuudet

Artikkelin tunnus: 921469 - Viimeisin tarkistus: 22. tammikuuta 2007 - Versio: 4.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Hakusanat: 
kbexpertiseinter kbhowto kbinfo KB921469

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com