أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

كيفية استخدام نهج المجموعة لتكوين إعدادات تدقيق الأمان المفصّلة لأجهزة كمبيوتر عميلة تعمل بنظام التشغيل Windows Vista في مجال Windows Server 2003 أو مجال Windows 2000

الموجز
تتناول هذه المقالة كيفية استخدام نهج المجموعة لتكوين إعدادات تدقيق الأمان لأجهزة كمبيوتر عميلة تعمل بنظام التشغيل Microsoft Windows Vista في مجال Windows Server 2003 أو مجال Windows 2000. يتيح لك نظام التشغيل Windows Vista إمكانية إدارة نُهُج التدقيق بمستوى أكثر تفصيلاً عن طريق استخدام الفئات الفرعية لنهج التدقيق. تتناول هذه المقالة الإجراء الذي يمكن للمسؤولين استخدامه لنشر نهج تدقيق مخصص يُطبِق إعدادات تدقيق الأمان المفصّلة على أجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل Windows Vista.
مقدمة
توضح هذه المقالة كيفية استخدام نهج المجموعة لتكوين إعدادات تدقيق أمان مفصّلة لأجهزة كمبيوتر عميلة تعمل بنظام التشغيل Windows Vista في مجال Windows Server 2003 أو مجال Windows 2000. في نظام التشغيل Windows Vista، تكون قدرتك على التحكم في الفئات الفرعية الفردية لنهج التدقيق أكبر من قدرتك على التحكم في الإصدارات السابقة من أنظمة تشغيل Windows. ولا يتم عرض الفئات الفرعية الفردية لنهج التدقيق المتوفرة في نظام التشغيل Windows Vista في واجهة أدوات نهج المجموعة. يمكن للمسؤولين استخدام الإجراء الموضح في المقالة الحالية لنشر نهج تدقيق مخصص يُطبِق إعدادات تدقيق أمان مفصّلة على أجهزة كمبيوتر عميلة تعمل بنظام التشغيل Windows Vista في مجال Windows Server 2003 أو مجال Windows 2000.
معلومات أخرى

الأشياء الواجب مراعاتها

فيما يلي بعض الأشياء الواجب مراعاتها قبل تنفيذ الإجراء الذي تتناوله هذه المقالة:
  • يشتمل الإجراء على نموذج تعليمة برمجية. وتستخدم نموذج التعليمة البرمجية مشاركة Netlogon. بالإضافة إلى هذا، يستخدم نموذج التعليمة البرمجية المجلد Temp الموجود في %SystemRoot% ليكون بمثابة مجلد التخزين المؤقت.
  • يشتمل الإجراء على نموذج المجال Contoso.com.
  • يفترض الإجراء تحقق الشروط التالية:
    • درايتك بالتقنيات والأدوات التالية:
      • البرامج النصية لبدء تشغيل نهج المجموعة
      • وحدة التحكم في إدارة نهج المجموعة
      • أداة سطر الأوامر Auditpol.exe
    • فهم أساسيات معالجة ملف الدُفعات.
    • إمكانية تكوين نهج تدقيق واحد لأجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل Windows Vista في مجال Windows Server 2003 أو مجال Windows 2000. ويكون نهج التدقيق معيّنًا إلى نهج المجال الافتراضي.
  • معرفتك بأن البرامج النصية، التي يستخدمها الإجراء، تعمل على تجاوز إعدادات نهج التدقيق المفصّلة، المتوفرة في نظام التشغيل Windows Vista، لإعدادات نهج التدقيق السابقة المستندة إلى مجال. إذا لم ترغب في تكوين إعدادات نهج التدقيق المفصّلة المتوفرة في نظام التشغيل Windows Vista، لا تستخدم الإجراء الموضح في المقالة الحالية.

استخدام نهج المجموعة لتكوين إعدادات تدقيق أمان مفصّلة لأجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل Windows Vista

لاستخدام نهج المجموعة لتكوين إعدادات تدقيق أمان مفصّلة لأجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل Windows Vista في مجال Windows Server 2003 أو في مجال Windows 2000، اتبع هذه الخطوات.

الخطوة 1: تحديد إعدادات تدقيق الأمان التي ترغب في نشرها على أجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل

Windows Vista
  1. قم بتسجيل الدخول إلى جهاز كمبيوتر يعمل بنظام التشغيل Windows Vista كمستخدم له بيانات اعتماد مسؤول.
  2. انقر فوق ابدأ وأشر إلى كافة البرامج، ثم انقر فوق البرامج الملحقة، ثم انقر بزر الماوس الأيمن فوق موجه الأوامر، ثم انقر فوق تشغيل كمسؤول.
  3. في مربع الحوار التحكم في حساب المستخدم، انقر فوق متابعة.
  4. قم بمسح إعدادات نهج التدقيق الافتراضية. للقيام بذلك، اكتب السطر التالي في موجه الأوامر، ثم اضغط مفتاح الإدخال:
    auditpol /clear
  5. استخدم الأداة Auditpol.exe الموجودة بسطر الأوامر لتكوين إعدادات نهج التدقيق المخصصة التي ترغب فيها.

    على سبيل المثال، اكتب السطور التالية في موجه الأوامر. اضغط مفتاح الإدخال بعد كل سطر.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    ملاحظة للاطلاع على كافة الفئات المحتملة والفئات الفرعية، اكتب السطر التالي في موجه الأوامر، ثم اضغط مفتاح الإدخال:
    auditpol /list /subcategory:*
  6. اكتب السطر التالي في موجه الأوامر، ثم اضغط مفتاح الإدخال:
    auditpol /backup /file:auditpolicy.txt
  7. انسخ الملف Auditpolicy.txt إلى مشاركة Netlogon الخاصة بوحدة التحكم بالمجال التي تحتفظ بدور محاكي "وحدة التحكم بالمجال الرئيسي" (PDC) في المجال.

    يحتوي الملف Auditpolicy.txt على كافة إعدادات نهج التدقيق التي قمت بتكوينها. يستخدم البرنامج النصي لبدء التشغيل هذا الملف لإعادة تطبيق النهج. بعد تطبيق البرنامج النصي لبدء التشغيل بنجاح مرة واحدة، لن تكون هناك حاجة إلى إعادة تشغيل جهاز الكمبيوتر لتحديث إعدادات نهج التدقيق. لتحديث إعدادات نهج التدقيق، قم بالكتابة فوق الإصدار السابق من الملف Auditpolicy.txt الذي قمت بنسخه إلى مشاركة Netlogon. للقيام بهذا، قم بإنشاء ملف Auditpolicy.txt جديد، ثم انسخ ملف Auditpolicy.txt الجديد إلى مشاركة Netlogon.

الخطوة 2: منع كتابة نهج تدقيق المجال السابق فوق نهج التدقيق على أجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل Windows Vista

لمنع كتابة نهج المجال السابق فوق نهج التدقيق، يجب تمكين إعداد النهج فرض إعدادات الفئات الفرعية لنهج التدقيق (Windows Vista أو الإصدارات اللاحقة) لتجاوز إعدادات فئة نهج التدقيق. يؤدي هذا إلى منع كتابة نهج التدقيق، المستند إلى مجال، فوق إعدادات نهج التدقيق الأكثر تفصيلاً على أجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل Windows Vista. للقيام بذلك، اتبع الخطوات التالية:
  1. على جهاز الكمبيوتر العميل الذي يعمل بنظام التشغيل Windows Vista والمرتبط بمجال، قم بفتح "نهج المجال الافتراضي".
  2. قم بتوسيع تكوين الكمبيوتر ثم قم بتوسيع إعدادات Windows، ثم قم بتوسيع إعدادات الأمان، ثم قم بتوسيع النهج المحلية، ثم انقر فوق خيارات الأمان.
  3. انقر نقرًا مزدوجًا فوق التدقيق: فرض إعدادات الفئات الفرعية لنهج التدقيق (Windows Vista أو الإصدارات اللاحقة) لتجاوز إعدادات فئة نهج التدقيق.
  4. انقر فوق تمكين، ثم انقر فوق موافق.

الخطوة 3: إنشاء البرامج النصية، ثم إضافة البرامج النصية إلى مشاركة Netlogon

تقدم Microsoft الأمثلة البرمجية بغرض التوضيح فقط، دون أي ضمان سواء ضمنيًا أم صريحًا. وتتضمن هذه الأمثلة، على سبيل المثال لا الحصر، الضمانات الضمنية الخاصة بالتسويق أو الملاءمة لغرض معين. تفترض هذه المقالة أنك معتاد على لغة البرمجة التي يتم شرحها والأدوات المستخدمة لإنشاء الإجراءات وتصحيحها. يمكن لمهندسي الدعم لدى Microsoft شرح الوظيفة الخاصة بإجراء محدد، ولكن لن يقوموا بتعديل هذه الأمثلة لتقديم وظيفة إضافية أو إنشاء إجراءات تستوفي متطلبات محددة.
  1. قم بإنشاء البرنامج النصي AuditPolicy.cmd. للقيام بذلك، اتبع الخطوات التالية:
    1. قم بتشغيل "المفكرة"، ثم قم بفتح مستند فارغ.
    2. قم بلصق التعليمة البرمجية التالية في مستند "المفكرة":
      @echo offREM AuditPolicy.cmdREM (c) 2006 Microsoft Corporation.  All rights reserved.REM Sample Audit Script to deploy Windows VistaREM Granular Audit Policy settings.REM Should be run as a startup script from Group PolicyREM ###################################################REM Declare Variables so that we only need to edit fileREM names/paths in one location in scriptREM ###################################################set AuditPolicyLog=%systemroot%\temp\auditpolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=applyauditpolicy.cmdset AuditPolicyTxt=auditpolicy.txtREM ###################################################REM Clear Log & start freshREM ###################################################if exist %AuditPolicyLog% del %AuditPolicyLog% /q /fdate /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%echo.REM ###################################################REM Check OS VersionREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho OS Version=%osversion% >> %AuditPolicyLog%REM ###################################################REM Skip Pre-VistaREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM Get Domain NameREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Machine domain=%machinedomain% >> %AuditPolicyLog%REM ###################################################REM Copy Script & Policy to Local Directory or TerminateREM ###################################################xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (    echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%    exit /b 1) else (    echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%)xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (    echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%    exit /b 1) else (    echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%)REM ###################################################REM Create Named Scheduled Task to Apply PolicyREM ###################################################%systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"if %ERRORLEVEL% NEQ 0 (    echo Failed to create scheduled task for Audit >> %AuditPolicyLog%    exit /b 1) else (    echo Created scheduled task for Audit >> %AuditPolicyLog%)REM ###################################################REM Start Named Scheduled Task to Apply PolicyREM ###################################################%systemroot%\system32\schtasks.exe /run /tn auditif %ERRORLEVEL% NEQ 0 (    Failed to execute scheduled task for Audit >> %AuditPolicyLog%) else (    echo Executed scheduled task for Audit >> %AuditPolicyLog%)
    3. من القائمة ملف، انقر فوق حفظ.
    4. في المربع حفظ كنوع، انقر فوق All Files، واكتب AuditPolicy.cmd في مربع اسم الملف، ثم انقر فوق حفظ.
  2. قم بإنشاء البرنامج النصي ApplyAuditPolicy.cmd. للقيام بذلك، اتبع الخطوات التالية:
    1. قم بتشغيل "المفكرة"، ثم قم بفتح مستند فارغ.
    2. قم بلصق التعليمة البرمجية التالية في مستند "المفكرة":
      @echo offREM ApplyAuditPolicy.cmdREM (c) 2006 Microsoft Corporation.  All rights reserved.REM Sample Audit Script to deploy Windows VistaREM Granular Audit Policy settings.REM ###################################################REM Declare Variables so that we only need to edit fileREM names/paths in one location in scriptREM ###################################################set DeleteAudit=DeleteAudit.txtset AuditPolicyLog=%systemroot%\temp\AuditPolicy.logset ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=ApplyAuditpolicy.cmdset AuditPolicyTxt=AuditPolicy.txtREM ###################################################REM Clear Log & start freshREM ###################################################if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /fdate /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%echo.REM ###################################################REM Check OS VersionREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho OS Version=%osversion% >> %ApplyAuditPolicyLog%REM ###################################################REM Skip Pre-VistaREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM Get Domain NameREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%REM ###################################################REM Delete Audit TaskREM Should only be used to remove the pseudo-policy fromREM client machines (designed for future Vista revisionsREM where this script will no longer be necessary, and thisREM script needs to be backed out).REM to use, simply create a file in NETLOGON with a nameREM that matches the contents of DeleteAudit variable (above)REM ###################################################if exist \\%machinedomain%\netlogon\%DeleteAudit% (    %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F    DEL %AuditPolicyLog%    DEL %ApplyAuditPolicyLog%    DEL %OSVersionSwap%    DEL %OsVersionTxt%    DEL %MachineDomainTxt%    DEL %MachineDomainSwap%    DEL %systemroot%\temp\%ApplyAuditPolicyCMD%    DEL %systemroot%\temp\%AuditPolicyTxt%    exit /b 1) REM ###################################################REM Copy Audit Policy to Local DirectoryREM This is tolerant of failures since the copy is justREM a "cache refresh".REM ###################################################xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (    echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%) else (    echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%)REM ###################################################REM Apply PolicyREM ###################################################%systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%if %ERRORLEVEL% NEQ 0 (    Failed to apply audit settings >> %ApplyAuditPolicyLog%) else (    echo Successfully applied audit settings >> %ApplyAuditPolicyLog%)
    3. من القائمة ملف، انقر فوق حفظ.
    4. في المربع حفظ كنوع، انقر فوق All Files، ثم اكتب ApplyAuditPolicy.cmd في المربع اسم الملف، ثم انقر فوق حفظ.
  3. انسخ النص البرمجي AuditPolicy.cmd والنص البرمجي ApplyAuditPolicy إلى مشاركة Netlogon لوحدة التحكم بالمجال التي لها دور محاكي "وحدة التحكم بالمجال الرئيسي" في المجال.
  4. انتظر حتى يحدث النسخ المتماثل لـ Active Directory. كذلك، انتظر حتى يتم إجراء النسخ المتماثل للملفات والمجلدات الموجودة في المجلد المشترك لوحدة تخزين ملفات الأجهزة (SYSVOL) على وحدات التحكم بالمجال في المجال.
  5. قم بإضافة البرنامج النصي لبدء التشغيل إلى نهج المجال الافتراضي. للقيام بذلك، اتبع الخطوات التالية:
    1. قم بتشغيل الأداة Active Directory Users and Computers.
    2. انقر بزر الماوس الأيمن فوق اسم المجال، ثم انقر فوق خصائص.
    3. انقر فوق علامة التبويب نهج المجموعة، ثم انقر فوق نهج المجال الافتراضي، وانقر فوق تحرير. يبدأ تشغيل الأداة "محرر كائنات نهج المجموعة".
    4. قم بتوسيع تكوين الكمبيوتر، ثم قم بتوسيع إعدادات Windows، ثم انقر بعد ذلك فوق برامج نصية (بدء التشغيل/إيقاف التشغيل).
    5. انقر نقرًا مزدوجًا فوق بدء تشغيل، ثم انقر فوق إضافة.
    6. في المربع اسم البرنامج النصي، اكتب مسار اصطلاح التسمية العالمي (UNC) الخاص بملف AuditPolicy.cmd الموجود في مشاركة Netlogon. استخدم التنسيق التالي:
      ‪\\اسم المجال المؤهل بالكامل\Netlogon\AuditPolicy.cmd
      على سبيل المثال، اكتب \\contoso.com\netlogon\auditpolicy.cmd.
    7. انقر فوق موافق مرتين.

الخطوة 4: التحقق من نجاح تطبيق إعدادات تدقيق الأمان

  1. انتظر حتى يحدث النسخ المتماثل لـ Active Directory. كذلك، انتظر حتى يتم إجراء النسخ المتماثل للملفات والمجلدات الموجودة في المجلد المشترك لوحدة تخزين ملفات الأجهزة (SYSVOL) على وحدات التحكم بالمجال في المجال.
  2. أعد تشغيل جهاز الكمبيوتر العميل الذي يعمل بنظام التشغيل Windows Vista المتصل بالمجال. قم بعد ذلك بتسجيل الدخول إلى الكمبيوتر كمستخدم له بيانات اعتماد مسؤول.
  3. انقر فوق ابدأ وأشر إلى كافة البرامج ثم انقر فوق البرامج الملحقة.
  4. انقر بزر الماوس الأيمن فوق موجه الأوامر، ثم انقر فوق تشغيل كمسؤول.
  5. في مربع الحوار التحكم في حساب المستخدم، انقر فوق متابعة.
  6. اكتب السطر التالي في موجه الأوامر، ثم اضغط مفتاح الإدخال:
    auditpol /get /category:*
  7. تحقق من أن إعدادات تدقيق الأمان المعروضة في موجه الأوامر تطابق الإعدادات المكوّنة في الملف AuditPolicy.txt الذي تم إنشاؤه في "الخطوة ١: تحديد إعدادات تدقيق الأمان التي ترغب في نشرها على أجهزة الكمبيوتر العميلة التي تعمل بنظام التشغيل Windows Vista."

    في حالة عدم تطابق إعدادات تدقيق الأمان، تفحص ملفات السجل التي تم إنشاؤها بواسطة البرنامج النصي لبدء التشغيل في المجلد Temp الموجود في %SystemRoot%. في حالة عدم وجود أية ملفات سجل في المجلد Temp الموجود في %SystemRoot%، تفحص جهاز الكمبيوتر العميل الذي يعمل بنظام التشغيل Windows Vista لتحديد سبب عدم تطبيق نهج المجموعة.
مراجع
لمزيد من المعلومات حول كيفية تكوين البرامج النصية لبدء التشغيل في Active Directory، قم بزيارة موقعي Microsoft التاليين على الويب: لمزيد من المعلومات حول "وحدة التحكم في إدارة نهج المجموعة"، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول الأداة Auditpol.exe الموجودة بسطر الأوامر والأداة Schtasks.exe الموجودة بسطر الأوامر، راجع "التعليمات والدعم" لنظام التشغيل Windows Vista.
granular
خصائص

رقم الموضوع: 921469 - آخر مراجعة: 02/22/2007 16:17:57 - المراجعة: 4.0

Windows Vista Ultimate, Windows Vista Business, Windows Vista Enterprise

  • kbexpertiseinter kbhowto kbinfo KB921469
تعليقات