如何使用组策略为 Windows Server 2003 域或 Windows 2000 域中的 Windows Vista 客户端计算机配置详细的安全审核设置

文章翻译 文章翻译
文章编号: 921469 - 查看本文应用于的产品
试用版信息
本文讨论 Microsoft 产品的试用版。本文中的信息按原样提供,如有更改,恕不另行通知。

Microsoft 对此试用版产品不提供正式产品支持。有关如何获取试用版支持的信息,请参见试用版产品文件附带的文档,或到您下载该版本的 Web 位置查看。
展开全部 | 关闭全部

本文内容

概要

本文介绍如何使用组策略为 Windows Server 2003 域或 Windows 2000 域中的 Microsoft Windows Vista 客户端计算机配置安全审核设置。Windows Vista 允许通过使用审核策略子类别更加详细地管理审核策略。本文介绍一个过程,管理员可以使用该过程部署用于在 Windows Vista 客户端计算机应用详细安全审核设置的自定义审核策略。

简介

本文讨论如何使用组策略为 Windows Server 2003 域或 Windows 2000 域中的 Windows Vista 客户端计算机配置详细的安全审核设置。与 Windows 操作系统的早期版本相比,在 Windows Vista 中您可以进一步控制各个审核策略子类别。Windows Vista 中提供的各个审核策略子类别并未在组策略工具的接口中公开。管理员可以使用本文介绍的过程部署用于在 Windows Server 2003 域或 Windows 2000 域中的 Windows Vista 客户端计算机上应用详细安全审核设置的自定义审核策略。

更多信息

注意事项

在执行本文讨论的过程之前,请考虑以下几点:
  • 该过程使用示例代码。该示例代码使用 Netlogon 共享。另外,该示例代码将 %SystemRoot%\Temp 文件夹用作缓存。
  • 该过程使用 Contoso.com 示例域。
  • 该过程假定下列条件得到满足:
    • 您熟悉下列技术和工具:
      • 组策略启动脚本
      • 组策略管理控制台
      • Auditpol.exe 命令行工具
    • 您大致了解批处理文件的处理。
    • 您可以为 Windows Server 2003 域或 Windows 2000 域中的 Windows Vista 客户端计算机配置一种审核策略。该审核策略将分配给默认域策略。
  • 您熟悉在以 Windows Vista 中可用的详细审核策略设置替代基于域的旧审核策略设置这一过程中所使用的脚本。如果不希望配置 Windows Vista 中可用的详细审核策略设置,请不要使用本文讨论的过程。

使用组策略为 Windows Vista 客户端计算机配置详细的安全审核设置

若要使用组策略为 Windows Server 2003 域或 Windows 2000 域中的 Windows Vista 客户端计算机配置详细的安全审核设置,请按照下列步骤操作。

步骤 1:确定要部署到 Windows Vista 客户端计算机的安全审核设置

  1. 以具有管理员凭据的用户身份登录到运行 Windows Vista 的计算机上。
  2. 单击“开始”,指向“所有程序”,单击“附件”,右键单击“命令提示符”,然后单击“用管理员帐户运行”。
  3. 在“用户帐户控制”对话框中,单击“继续”。
  4. 清除默认的审核策略设置。为此,请在命令提示符处键入下行内容,然后按 Enter:
    auditpol /clear
  5. 使用 Auditpol.exe 命令行工具配置所需的自定义审核策略设置。

    例如,在命令提示符处键入下列行的内容。在每一行之后按 Enter。
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    注意:若要查看所有可能的类别和子类别,请在命令提示符处键入下行内容,然后按 Enter:
    auditpol /list /subcategory:*
  6. 在命令提示符处键入下行内容,然后按 Enter:
    auditpol /backup /file:auditpolicy.txt
  7. 将 Auditpolicy.txt 文件复制到域中担当主域控制器 (PDC) 模拟器角色的域控制器的 Netlogon 共享中。

    Auditpolicy.txt 文件包含已配置的所有审核策略设置。启动脚本将使用此文件重新应用策略。在成功应用启动脚本一次后,无需重新启动计算机即可更新审核策略设置。若要更新审核策略设置,请覆盖复制到 Netlogon 共享中的 Auditpolicy.txt 文件的早期版本。为此,请创建一个新的 Auditpolicy.txt 文件,然后将新的 Auditpolicy.txt 文件复制到 Netlogon 共享中。

步骤 2:防止旧的域审核策略覆盖 Windows Vista 客户端计算机上的审核策略

若要防止旧的域策略覆盖该审核策略,必须启用“强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”策略设置。它可以防止基于域的审核策略覆盖 Windows Vista 客户端计算机上更为详细的审核策略设置。为此,请按照下列步骤操作:
  1. 在加入域的 Windows Vista 客户端计算机上,打开“默认域策略”。
  2. 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
  3. 双击“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”。
  4. 单击“已启用”,然后单击“确定”。

步骤 3:创建脚本并将其添加到 Netlogon 共享中

Microsoft 提供的编程示例只用于演示目的,不附带任何明示或暗示的保证。这包括但不限于对适销性或特定用途适用性的暗示保证。本文假定您熟悉所演示的编程语言和用于创建和调试过程的工具。Microsoft 的支持工程师可以帮助解释某个特定过程的功能,但是他们不会修改这些示例以提供额外的功能或构建满足特殊需求的过程。
  1. 创建 AuditPolicy.cmd 脚本。为此,请按照下列步骤操作:
    1. 启动记事本,然后打开一个空白文档。
    2. 将以下代码粘贴到记事本中的文档内:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. 在“文件”菜单上,单击“保存”。
    4. 在“保存类型”框中,单击“所有文件”,在“文件名”框中键入 AuditPolicy.cmd,然后单击“保存”。
  2. 创建 AuditPolicy.cmd 脚本。为此,请按照下列步骤操作:
    1. 启动记事本,然后打开一个空白文档。
    2. 将以下代码粘贴到记事本中的文档内:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. 在“文件”菜单上,单击“保存”。
    4. 在“保存类型”框中,单击“所有文件”,在“文件名”框中键入 ApplyAuditPolicy.cmd,然后单击“保存”。
  3. 将 AuditPolicy.cmd 脚本和 ApplyAuditPolicy.cmd 脚本复制到域中担当 PDC 模拟器角色的域控制器的 Netlogon 共享中。
  4. 等到发生 Active Directory 复制,并且系统卷 (SYSVOL) 共享文件夹中的文件和文件夹复制到域中的域控制器上。
  5. 将启动脚本添加到“默认域策略”中。为此,请按照下列步骤操作:
    1. 启动 Active Directory 用户和计算机工具。
    2. 右键单击“<域名>”,然后单击“属性”。
    3. 单击“组策略”选项卡,单击“默认域策略”,然后单击“编辑”。这将启动组策略对象编辑器工具。
    4. 依次展开“计算机配置”和“Windows 设置”,然后单击“脚本 (启动/关机)”。
    5. 双击“启动”,然后单击“添加”。
    6. 在“脚本名”框中,键入位于 Netlogon 共享中的 AuditPolicy.cmd 文件的通用命名约定 (UNC) 路径。请使用以下格式:
      \\<完全限定的域名>\Netlogon\AuditPolicy.cmd
      例如,键入 \\contoso.com\netlogon\auditpolicy.cmd
    7. 单击“确定”两次。

步骤 4:验证是否已成功应用安全审核设置

  1. 等到发生 Active Directory 复制,并且系统卷 (SYSVOL) 共享文件夹中的文件和文件夹复制到域中的域控制器上。
  2. 重新启动加入该域的 Windows Vista 客户端计算机。然后,以具有管理员凭据的用户身份登录到该计算机上。
  3. 单击“开始”,指向“所有程序”,然后单击“附件”。
  4. 右键单击“命令提示符”,然后单击“用管理员帐户运行”。
  5. 在“用户帐户控制”对话框中,单击“继续”。
  6. 在命令提示符处键入下行内容,然后按 Enter:
    auditpol /get /category:*
  7. 验证命令提示符下显示的安全审核设置是否与 AuditPolicy.txt 文件(在“步骤 1:确定要部署到 Windows Vista 客户端计算机的安全审核设置”中创建)中配置的设置匹配。

    如果安全审核设置不匹配,请在 %SystemRoot%\Temp 文件夹中检查由启动脚本生成的日志文件。如果 %SystemRoot%\Temp 文件夹中没有日志文件,请检查 Windows Vista 客户端计算机,以确定未应用组策略的原因。

参考

有关如何在 Active Directory 中配置启动脚本的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/dcaa775e-0012-4e43-8e68-a31b32b4241f.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/65aa4e48-8b1f-42bc-b20f-64f67367dadc.mspx?mfr=true
有关组策略管理控制台的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/7a0aaa61-5152-4489-86c9-b083b22b2173.mspx?mfr=true
有关 Auditpol.exe 命令行工具和 Schtasks.exe 命令行工具的更多信息,请参见 Windows Vista 帮助和支持。

属性

文章编号: 921469 - 最后修改: 2006年11月20日 - 修订: 2.1
这篇文章中的信息适用于:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
关键字:?
kbhowto kbinfo kbexpertiseinter KB921469
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com