Bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 921469 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Denne artikkelen beskriver hvordan du kan bruke gruppepolicy til å konfigurere sikkerhetslogginnstillinger for Microsoft Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene. Med Windows Vista kan du administrere overvåkingspolicyer på et mer detaljert nivå ved å bruke underkategorier for overvåkingspolicy. Denne artikkelen beskriver en fremgangsmåte som administratorer kan bruke til å distribuere en egendefinert overvåkingspolicy som bruker detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner.

INNLEDNING

Denne artikkelen tar for seg hvordan du kan bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene. I Windows Vista har du mer kontroll over individuelle underkategorier for overvåkingspolicy enn i tidligere versjoner av Windows-operativsystemer. De individuelle underkategoriene for overvåkingspolicy som er tilgjengelige i Windows Vista, vises ikke i grensesnittet til verktøyene for gruppepolicy. Administratorer kan bruke fremgangsmåten i denne artikkelen til å distribuere en egendefinert overvåkingspolicy som bruker detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene.

Mer informasjon

Vurder følgende

Nedenfor finner du noen ting du bør vurdere før du gjennomfører fremgangsmåten i denne artikkelen:
  • Fremgangsmåten bruker kodeeksempel. Eksempelkoden bruker nettpåloggingsressursen. Eksempelkoden bruker også %Systemrot%\Temp-mappen som hurtigbuffer.
  • Fremgangsmåten bruker eksempeldomenet Contoso.com.
  • Fremgangsmåten tar utgangspunkt i at følgende betingelser er oppfylt:
    • Du har erfaring med følgende teknologi og verktøy:
      • Gruppepolicy-oppstartsskript
      • Group Policy Management Console
      • Kommandolinjeverktøyet Auditpol.exe
    • Du har en grunnleggende forståelse av behandling av satsvise filer.
    • Du kan konfigurere en overvåkingspolicy for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene. Overvåkingspolicy er tilordnet standard domenepolicy.
  • Du har erfaring med skriptene som brukes i fremgangsmåten til å overstyre eldre domenebaserte innstillinger for overvåkingspolicy med de detaljerte innstillingene for overvåkingspolicy som er tilgjengelige i Windows Vista. Hvis du ikke vil konfigurere de detaljerte innstillingene for overvåkingspolicy som er tilgjengelige i Windows Vista, bør du ikke bruke fremgangsmåten i denne artikkelen.

Bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner

Bruk følgende fremgangsmåte hvis du vil bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene.

Trinn 1: Velg sikkerhetslogginnstillingene som du vil distribuere til Windows Vista-klientdatamaskiner

  1. Logg deg på en datamaskin som kjører Windows Vista, som en bruker med administratorrettigheter.
  2. Klikk Start, velg Alle programmer, klikk Tilbehør, høyreklikk Ledetekst, og klikk deretter Run as administrator.
  3. Klikk Fortsett i dialogboksen Brukerkontokontroll.
  4. Tøm standardinnstillingene for overvåkingspolicy. Hvis du vil gjøre dette, skriver du inn følgende linje ved ledeteksten og trykker Enter:
    auditpol /clear
  5. Bruk kommandolinjeverktøyet Auditpol.exe til å konfigurere dine egendefinerte innstillinger for overvåkingspolicy.

    Skriv for eksempel inn linjene nedefor ved ledeteksten. Trykk Enter etter hver linje.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Obs!  Hvis du vil se alle kategoriene og underkategoriene, skriver du inn følgende linje ved ledeteksten og trykker Enter:
    auditpol /list /subcategory:*
  6. Skriv inn følgende linje ved ledeteksten, og trykk deretter Enter:
    auditpol /backup /file:auditpolicy.txt
  7. Kopier filen Auditpolicy.txt til nettpåloggingsressursen i domenekontrolleren som har emulatorrollen for den primære domenekontrolleren (PDC) i domenet.

    Filen Auditpolicy.txt inneholder alle innstillingene du har konfigurert for overvåkingspolicy. Oppstartsskriptet bruker denne filen til å anvende policyen på nytt. Når du har brukt oppstartsskriptet én gang, må du ikke starte datamaskinen på nytt for å oppdatere innstillingene for overvåkingspolicy. Hvis du vil oppdatere innstillingene for overvåkingspolicy, må du overskrive den tidligere versjonen av Auditpolicy.txt som du kopierte til nettpåloggingsressursen. Du kan gjøre dette ved å opprette en ny Auditpolicy.txt-fil og deretter kopiere den nye Auditpolicy.txt-filen til nettpåloggingsressursen.

Trinn 2: Forhindre at eldre domenebasert overvåkingspolicy overskriver overvåkingspolicyen på Windows Vista-klientdatamaskiner

Hvis du vil forhindre at eldre domenebasert overvåkingspolicy skal overskrive overvåkingspolicyen, må du aktivere policyinnstillingen Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings. Dette forhindrer at domenebasert overvåkingspolicy overskriver de mer detaljerte innstillingene for overvåkingspolicy på Windows Vista-klientdatamaskiner. Slik gjør du dette:
  1. Åpne Standard domenepolicy på en Windows Vista-klientdatamaskin som er knyttet til domenet.
  2. Utvid Datamaskinkonfigurasjon, utvid Windows-innstillinger, utvid Sikkerhetsinnstillinger, utvid Lokale policyer, og klikk deretter Sikkerhetsalternativer.
  3. Dobbeltklikk "Overvåking: Fremtving underkategoriinnstillinger for overvåkingspolicy (Windows Vista eller senere) for å overstyre kategoriinnstillinger for overvåkingspolicy".
  4. Klikk Aktivert, og klikk deretter OK.

Trinn 3: Opprett skriptene, og legg deretter skriptene til nettpåloggingsressursen

Programmeringseksemplene som Microsoft bruker, er kun eksempler. Microsoft gir ingen garantier, uttrykt eller underforstått. Dette inkluderer, men er ikke begrenset til, underforståtte garantier om salgbarhet eller anvendelighet for særskilte formål. Denne artikkelen forutsetter at du er kjent med programmeringsspråket som brukes, og med verktøyene som brukes til å opprette og feilsøke prosedyrer. Microsofts kundestøtteteknikere kan være behjelpelige med å forklare funksjonaliteten til en bestemt prosedyre, men de kommer ikke til å endre disse eksemplene for å gi forbedret funksjonalitet eller opprette prosedyrer for å dekke dine bestemte behov.
  1. Opprett skriptet AuditPolicy.cmd. Slik gjør du dette:
    1. Start Notisblokk, og åpne deretter et tomt dokument.
    2. Lim inn følgende kode i Notisblokk-dokumentet:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. Klikk LagreFil-menyen.
    4. I Filtype-boksen klikker du Alle filer, skriver AuditPolicy.cmd i Filnavn-boksen, og deretter klikker du Lagre.
  2. Opprett skriptet ApplyAuditPolicy.cmd. Slik gjør du dette:
    1. Start Notisblokk, og åpne deretter et tomt dokument.
    2. Lim inn følgende kode i Notisblokk-dokumentet:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. Klikk LagreFil-menyen.
    4. I Filtype-boksen klikker du Alle filer, skriver ApplyAuditPolicy.cmd i Filnavn-boksen, og klikker deretter Lagre.
  3. Kopier skriptene AuditPolicy.cmd og ApplyAuditPolicy.cmd til nettpåloggingsressursen i domenekontrolleren som har emulatorrollen for PDC i domenet.
  4. Vent til Active Directory-replikeringen utføres. Vent også til alle filene og mappene i den delte mappen i systemvolumet (SYSVOL) blir replikert på domenekontrollerne i domenet.
  5. Legg til oppstartsskriptet i Standard domenepolicy. Slik gjør du dette:
    1. Start verktøyet Active Directory-brukere og -datamaskiner.
    2. Høyreklikk Domenenavn, og klikk deretter Egenskaper.
    3. Velg kategorien Gruppepolicy, klikk Standard domenepolicy, og klikk deretter Rediger. Verktøyet Redigeringsprogram for gruppepolicyobjekt starter.
    4. Utvid Datamaskinkonfigurasjon, utvid Windows-innstillinger, og klikk deretter Skript (oppstart/avslutning).
    5. Dobbeltklikk Oppstart, og klikk deretter Legg til.
    6. I Skriptnavn-boksen skriver du inn UNC-banen (Universal Naming Convention) til filen AuditPolicy.cmd som er i nettpåloggingsressursen. Bruk følgende format:
      \\Kvalifisertdomenenavn\Netlogon\AuditPolicy.cmd
      Skriv for eksempel \\contoso.com\netlogon\auditpolicy.cmd.
    7. Klikk OK to ganger.

Trinn 4: Kontroller at sikkerhetslogginnstillingene ble brukt

  1. Vent til Active Directory-replikeringen utføres. Vent også til alle filene og mappene i den delte mappen i systemvolumet (SYSVOL) blir replikert på domenekontrollerne i domenet.
  2. Start en Windows Vista-klientdatamaskin som er knyttet til domenet, på nytt. Logg deg deretter på datamaskinen som bruker med administratorrettigheter.
  3. Klikk Start, pek på Alle programmer og pek deretter på Tilbehør.
  4. Høyreklikk Ledetekst, og klikk deretter Run as administrator.
  5. Klikk Fortsett i dialogboksen Brukerkontokontroll.
  6. Skriv inn følgende linje ved ledeteksten, og trykk deretter Enter:
    auditpol /get /category:*
  7. Kontroller at sikkerhetslogginnstillingene som vises ved ledeteksten, svarer til innstillingene som er konfigurert i filen AuditPolicy.txt, som du opprettet i Trinn 1: Velg sikkerhetslogginnstillingene som du vil distribuere til Windows Vista-klientdatamaskiner.

    Hvis sikkerhetslogginnstillingene ikke samsvarer, må du undersøke loggfilene som genereres med oppstartsskriptet i %Systemrot%\Temp-mappen. Hvis det ikke er noen loggfiler i %Systemrot%\Temp-mappen, må du undersøke Windows Vista-klientdatamaskinen for å finne ut hvorfor gruppepolicy ikke ble brukt.

Referanser

Hvis du vil ha mer informasjon om hvordan du konfigurerer oppstartsskript i Acitve Directory, kan du gå til følgende Microsoft-webområder.
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Hvis du vil ha mer informasjon om Group Policy Management Console, kan du gå til følgende Microsoft-webområde:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Hvis du vil ha mer informasjon om kommandolinjeverktøyene Auditpol.exe og Schtasks.exe, kan du se Hjelp og støtte for Windows Vista.

Egenskaper

Artikkel-ID: 921469 - Forrige gjennomgang: 22. januar 2007 - Gjennomgang: 4.0
Informasjonen i denne artikkelen gjelder:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Nøkkelord: 
kbhowto kbinfo kbexpertiseinter KB921469

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com