Använda Grupprincip för att konfigurera detaljerade inställningar av säkerhetsgranskning för Windows Vista-klientdatorer i en Windows Server 2003- eller Windows 2000-domän

Artikelöversättning Artikelöversättning
Artikel-id: 921469 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

I den här artikeln beskrivs hur Grupprincip kan användas för att konfigurera detaljerade inställningar av säkerhetsgranskning för Windows Vista-klientdatorer i en Windows Server 2003- eller Windows 2000-domän. I Windows Vista kan granskningsprinciper hanteras på en mer detaljerad nivå med hjälp av underkategorier för granskningsprinciper. Nedan beskrivs hur administratörer kan distribuera en anpassad granskningsprincip som medför att detaljerade inställningar för säkerhetsgranskning används för Windows Vista-klientdatorer.

INLEDNING

I den här artikeln beskrivs hur Grupprincip kan användas för att konfigurera detaljerade inställningar av säkerhetsgranskning för Windows Vista-klientdatorer i en Windows Server 2003- eller Windows 2000-domän. I Windows Vista har användaren mer kontroll över enskilda underkategorier för granskningsprinciper än i tidigare Windows-operativsystem. Enskilda underkategorier för granskningsprinciper som är tillgängliga i Windows Vista exponeras inte i gränssnittet för Grupprincip-verktyg. Administratörer kan följa instruktionerna i den här artikeln för att distribuera en anpassad granskningsprincip som medför att detaljerade inställningar av säkerhetsgranskning används på Windows Vista-klientdatorer i en Windows Server 2003- eller Windows 2000-domän.

Mer Information

Att tänka på

Du bör tänka på följande innan du följer instruktionerna i den här artikeln:
  • I instruktionerna används exempelkod med Netlogon-resursen. Dessutom används %SystemRoot%\Temp som cache-mapp.
  • Contoso.com används som exempeldomän.
  • Instruktionerna bygger på följande förutsättningar:
    • Du är bekant med följande tekniker och verktyg:
      • Startskript för Grupprincip
      • Konsolen Grupprinciphantering
      • Kommandoradsverktyget Auditpol.exe
    • Du har grundläggande kunskaper om kommandofilsbearbetning.
    • Du kan konfigurera en granskningsprincip för Windows Vista-klientdatorer i en Windows Server 2003- eller Windows 2000-domän. Granskningsprincipen tilldelas till standarddomänprincipen.
  • Du är bekant med skripten som används för att åsidosätta tidigare domänbaserade inställningar för granskningsprinciper genom de detaljerade inställningarna i Windows Vista för granskningsprinciper. Om du inte vill konfigurera de detaljerade inställningarna i Windows Vista för granskningsprinciper ska du inte följa instruktionerna i den här artikeln.

Använd Grupprincip för att konfigurera detaljerade inställningar för säkerhetsgranskning för Windows Vista-klientdatorer

Så här använder du Grupprincip för att konfigurera detaljerade inställningar för säkerhetsgranskning för Windows Vista-klientdatorer i en Windows Server 2003- eller Windows 2000-domän.

Steg 1: Fastställ vilka inställningar för säkerhetsgranskning som du vill distribuera till Windows Vista-klientdatorer

  1. Logga in på en Windows Vista-dator som en användare med administratörsbehörighet.
  2. Klicka på Start, peka på Alla program, klicka på Tillbehör, högerklicka på Kommandotolken och klicka sedan på Kör som administratör.
  3. Klicka på Fortsätt i dialogrutan Kontroll av användarkonto.
  4. Rensa standardinställningarna för granskningsprinciper genom att skriva följande rad vid kommandotolken och sedan trycka på RETUR:
    auditpol /clear
  5. Använd kommandoradsverktyget Auditpol.exe för att konfigurera önskade anpassade inställningar för granskningsprinciper.

    Skriv till exempel följande rader vid kommandotolken och tryck på RETUR efter varje rad:
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Obs! Om du vill se alla kategorier och underkategorier som är möjliga skriver du följande rad vid kommandotolken och trycker på RETUR:
    auditpol /list /subcategory:*
  6. Skriv följande rad vid kommandotolken och tryck på RETUR:
    auditpol /backup /file:auditpolicy.txt
  7. Kopiera filen Auditpolicy.txt till Netlogon-resursen på domänkontrollanten som har PDC-emulatorrollen (Primary Domain Controller) i domänen.

    Filen Auditpolicy.txt innehåller alla inställningar för granskningsprinciper som har konfigurerats, och filen används i startskriptet för att tillämpa principen igen. När du har använt startskriptet en gång utan problem behöver du inte starta om datorn för att uppdatera inställningar för granskningsprinciper. När du vill uppdatera inställningar för granskningsprinciper skriver du över den tidigare versionen av Auditpolicy.txt som du kopierade till Netlogon-resursen. Skapa en ny fil Auditpolicy.txt och kopiera den till Netlogon-resursen.

Steg 2: Förhindra att den tidigare domängranskningsprincipen skriver över granskningsprincipen på Windows Vista-klientdatorer

För att den tidigare domänprincipen inte ska skriva över granskningsprincipen måste du aktivera principinställningen Tvinga underkategoriinställningar för granskningsprincip (Windows Vista eller senare) för att åsidosätta kategoriinställningar för granskningsprincip. Detta förhindrar att den domänbaserade granskningsprincipen skriver över de mer detaljerade inställningarna för granskningsprinciper på Windows Vista-klientdatorer. Gör så här:
  1. Öppna standarddomänprincipen på en Windows Vista-klientdator som är ansluten till domänen.
  2. Expandera Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer och klicka sedan på Säkerhetsalternativ.
  3. Dubbelklicka på Granskning: Tvinga underkategoriinställningar för granskningsprincip (Windows Vista eller senare) för att åsidosätta kategoriinställningar för granskningsprincip.
  4. Klicka på Aktiverad och sedan på OK.

Steg 3: Skapa skripten och lägg till dem på Netlogon-resursen

Microsoft tillhandahåller programmeringsexempel enbart i förklarande syfte och gör inga utfästelser, varken uttryckligen eller underförstått. Detta omfattar men begränsas inte till underförstådd garanti för säljbarhet eller lämplighet för ett visst syfte. I denna artikel förutsätts att du känner till det programmeringsspråk som demonstreras och de verktyg som används för att skapa och felsöka procedurer. Microsofts supporttekniker kan hjälpa till med att förklara funktionen hos en viss procedur, men kan inte ändra dessa exempel för att ge ytterligare funktioner eller skapa procedurer som motsvarar dina speciella behov.
  1. Skapa AuditPolicy.cmd-skriptet så här:
    1. Starta Anteckningar och öppna ett nytt tomt dokument.
    2. Klistra in följande kod i dokumentet i Anteckningar:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. Klicka på SparaArkiv-menyn.
    4. Klicka på Alla filer i rutan Filformat, skriv AuditPolicy.cmd i rutan Filnamn och klicka på Spara.
  2. Skapa AuditPolicy.cmd-skriptet så här:
    1. Starta Anteckningar och öppna ett nytt tomt dokument.
    2. Klistra in följande kod i dokumentet i Anteckningar:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. Klicka på SparaArkiv-menyn.
    4. Klicka på Alla filer i rutan Filformat, skriv ApplyAuditPolicy.cmd i rutan Filnamn och klicka på Spara.
  3. Kopiera AuditPolicy.cmd- och ApplyAuditPolicy.cmd-skripten till Netlogon-resursen på domänkontrollanten som har PDC-emulatorrollen i domänen.
  4. Vänta tills Active Directory-replikering sker. Vänta även tills filerna och mapparna i den delade SYSVOL-mappen (System Volume) replikeras på domänkontrollanter i domänen.
  5. Lägg till startskripten till standarddomänprincipen så här:
    1. Starta Active Directory-verktyget Användare och datorer.
    2. Högerklicka på Domännamn och klicka på Egenskaper.
    3. Klicka på fliken Grupprincip, Standarddomänprincip och Redigera. Redigeraren för grupprincipobjekt startar.
    4. Expandera Datorkonfiguration, Windows-inställningar och Skript (start/avslut).
    5. Dubbelklicka på Autostart och klicka på Lägg till.
    6. I dialogrutan Skriptnamn skriver du UNC-sökvägen (Universal Naming Convention) till filen AuditPolicy.cmd som finns på Netlogon-resursen. Använd följande format:
      \\Fullständigt_kvalificerat_domännamn\Netlogon\AuditPolicy.cmd
      Exempel: \\contoso.com\netlogon\auditpolicy.cmd.
    7. Klicka två gånger på OK.

Steg 4: Kontrollera att inställningarna för säkerhetsgranskning används

  1. Vänta tills Active Directory-replikering sker. Vänta även tills filerna och mapparna i den delade SYSVOL-mappen (System Volume) replikeras på domänkontrollanter i domänen.
  2. Starta om en Windows Vista-klientdator som är ansluten till domänen. Logga sedan in på datorn som en användare med administratörsbehörighet.
  3. Klicka på Start, peka på Alla program och klicka på Tillbehör.
  4. Högerklicka på Kommandotolken och klicka sedan på Kör som administratör.
  5. Klicka på Fortsätt i dialogrutan Kontroll av användarkonto.
  6. Skriv följande rad vid kommandotolken och tryck på RETUR:
    auditpol /get /category:*
  7. Kontrollera att inställningarna för säkerhetsgranskning som visas vid kommandotolken motsvarar inställningarna i filen AuditPolicy.txt som du skapade i "Steg 1: Fastställ vilka inställningar för säkerhetsgranskning som du vill distribuera till Windows Vista-klientdatorer".

    Om inställningarna inte stämmer överens granskar du loggfilerna som skapas av startskriptet i mappen %SystemRoot%\Temp. Om det inte finns några loggfiler i mappen %SystemRoot%\Temp kontrollerar du Windows Vista-klientdatorn för att fastställa varför Grupprincip inte har använts.

Referenser

Mer information om hur du konfigurerar startskript i Active Directory finns på följande Microsoft-webbplatser:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Mer information om konsolen Grupprinciphantering finns på följande Microsoft-webbplats:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Mer information om kommandoradsverktygen Auditpol.exe och Schtasks.exe finns i Hjälp och support för Windows Vista.

Egenskaper

Artikel-id: 921469 - Senaste granskning: den 6 december 2006 - Revision: 3.0
Informationen i denna artikel gäller:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Nyckelord: 
kbexpertiseinter kbhowto kbinfo KB921469

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com