Sådan konfigureres omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne

Sammenfatning
I artiklen beskrives, hvordan du kan konfigurere omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Microsoft Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne I Windows Vista har du adgang til at styre overvågningspolitikker på et mere omfattende niveau via underkategorier for overvågningspolitik. I artiklen beskrives en fremgangsmåde, som kan benyttes af administratorer til installation af en brugerdefineret overvågningspolitik med omfattende indstillinger for sikkerhedsovervågning på klientcomputere, der kører Windows Vista.
INTRODUKTION
I artiklen beskrives, hvordan du kan konfigurere omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne I Windows Vista har du større kontrol over de individuelle underkategorier for overvågningspolitik end i tidligere versioner af Windows-operativsystemet. De individuelle underkategorier for overvågningspolitik, der er tilgængelige i Windows Vista, vises ikke i grænsefladen for gruppepolitikværktøjerne. Den fremgangsmåde, der beskrives i artiklen, kan benyttes af administratorer til installation af en brugerdefineret overvågningspolitik med omfattende indstillinger for sikkerhedsovervågning på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne.
Yderligere Information

Overvejelser

I det følgende beskrives nogle af de forhold, der skal overvejes, inden den fremgangsmåde, der beskrives i artiklen, benyttes:
 • I den beskrevne fremgangsmåde bruges der eksempelkode. Denne eksempelkode er knyttet til Netlogon-sharet. I eksempelkoden bruges mappen %SystemRoot%\Temp endvidere som cachelager.
 • I den beskrevne fremgangsmåde bruges eksempeldomænet Contoso.com.
 • Fremgangsmåden forudsætter, at følgende betingelser er opfyldt:
  • Du er fortrolig med følgende teknologier og værktøjer:
   • Startscripts for Gruppepolitik
   • GPMC (Group Policy Management Console)
   • Kommandolinjeværktøjet Auditpol.exe
  • Du har en grundlæggende forståelse for håndtering af batchfiler.
  • Du kan konfigurere én overvågningspolitik for Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne. Overvågningspolitikken knyttes til standarddomænepolitikken.
 • Du er fortrolig med de scripts, der benyttes i den beskrevne fremgangsmåde til overskrivning af gamle indstillinger for domænebaseret overvågningspolitik med de omfattende indstillinger for overvågningspolitik, der er tilgængelige i Windows Vista. Du skal kun benytte den fremgangsmåde, der beskrives i artiklen, hvis du vil konfigurere de omfattende indstillinger for overvågningspolitik, der er tilgængelige i Windows Vista.

Konfiguration af omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere

Du kan konfigurere omfattende indstillinger for sikkerhedsovervågning ved hjælp af Gruppepolitik på Windows Vista-klientcomputere på et Windows Server 2003- eller Windows 2000-domæne ved at benytte denne fremgangsmåde:

Trin 1: Find frem til de indstillinger for sikkerhedsovervågning, du vil installere på Windows Vista-klientcomputerne

 1. Log på en computer, der kører Windows Vista, som en bruger med administratorrettigheder.
 2. Klik på Start, peg på Alle programmer, klik på Tilbehør, højreklik på Kommandoprompt, og klik derefter på Kør som administrator.
 3. Klik på Fortsæt i dialogboksen Brugerkontokontrol.
 4. Tøm standardindstillingerne for overvågningspolitik. Det kan du gøre ved at skrive følgende linje ved kommandoprompten og derefter trykke på ENTER:
  auditpol /clear
 5. Konfigurer de brugerdefinerede indstillinger, du vil bruge for overvågningspolitik, ved hjælp af kommandolinjeværktøjet Auditpol.exe.

  Skriv f.eks. følgende linjer ved kommandoprompten: Tryk på ENTER efter hver linje.
  auditpol /set /subcategory:"user account management" /success:enable /failure:enable
  auditpol /set /subcategory:"logon" /success:enable /failure:enable
  auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
  Bemærk!Du kan få vist alle tilgængelige kategorier og underkategorier ved at skrive følgende linje ved kommandoprompten og derefter trykke på ENTER:
  auditpol /list /subcategory:*
 6. Skriv følgende linje ved kommandoprompten, og tryk derefter på ENTER:
  auditpol /backup /file:auditpolicy.txt
 7. Kopier filen Auditpolicy.txt til Netlogon-sharet for den domænecontroller, som udfører rollen som primær domænecontrolleremulator.

  Filen Auditpolicy.txt indeholder de indstillinger for overvågningspolitik, du har konfigureret. Politikken installeres igen ved hjælp af startscriptet på baggrund af indholdet i denne fil. Når du har kørt startscriptet én gang, er det ikke nødvendigt at genstarte computeren for at opdatere indstillingerne for overvågningspolitik. Du kan opdatere indstillingerne for overvågningspolitik ved at overskrive den tidligere version af filen Auditpolicy.txt, som er blevet kopieret til Netlogon-sharet. Det kan du gøre ved at oprette en ny Auditpolicy.txt-fil og derefter kopiere den nye Auditpolicy.txt-fil til Netlogon-sharet.

Trin 2: Forebyg, at overvågningspolitikken på Windows Vista-klientcomputere overskrives af den gamle overvågningspolitik på domænet

Du kan forhindre, at overvågningspolitikken overskrives af den gamle politik på domænet ved at aktivere indstillingen Tving indstillinger for underkategori for overvågningspolitik (Windows Vista eller nyere) til at tilsidesætte indstillinger for overvågningspolitikkategori. Med denne indstilling forhindres det, at den domænebaserede overvågningspolitik overskriver de omfattende indstillinger for overvågningspolitik, der findes på Windows Vista-klientcomputere. Det kan du gøre ved at benytte denne fremgangsmåde:
 1. Åbn standarddomænepolitikken på en Windows Vista-klientcomputer, der er knyttet til domænet.
 2. Udvid Computerkonfiguration, udvid Windows-indstillinger, udvid Sikkerhedsindstillinger, udvid Lokale politikker, og klik derefter på Sikkerhedsindstillinger.
 3. Dobbeltklik på Overvågning: Tving indstillinger for underkategori for overvågningspolitik (Windows Vista eller nyere) til at tilsidesætte indstillinger for overvågningspolitikkategori.
 4. Klik på Aktiveret, og klik derefter på OK.

Trin 3: Opret de relevante scripts, og føj dem derefter til Netlogon-sharet

Microsoft leverer kun programmeringseksempler som illustration – uden nogen form for garanti, det være sig udtrykkelig eller underforstået. Dette omfatter, men er ikke begrænset til, det stiltiende ansvar for salgbarhed eller egnethed til bestemte formål. Det forudsættes i denne artikel, at du kender ovennævnte programmeringssprog samt de værktøjer, der bruges til at oprette og udføre fejlfinding af procedurer. Microsofts supportmedarbejdere kan hjælpe med at forklare funktionaliteten i en bestemt procedure, men vil ikke ændre eksemplerne, så de giver større funktionalitet, eller oprette procedurer, der passer specielt til dine behov.
 1. Opret scriptet AuditPolicy.cmd. Det kan du gøre ved at benytte denne fremgangsmåde:
  1. Start Notesblok, og åbn derefter et tomt dokument.
  2. Sæt følgende kode ind i dokumentet i Notesblok:
   @echo offREM AuditPolicy.cmdREM (c) 2006 Microsoft Corporation. Alle rettigheder forbeholdes.REM eksempelovervågningsscript til installation af Windows VistaREM granulære indstillinger for overvågningspolitik.REM skal køres som et startscript fra GruppepolitikREM ###################################################REM angiv variabler, så det kun er nødvendigt at redigere filenREM navne/stier på ét sted i scriptetREM ###################################################set AuditPolicyLog=%systemroot%\temp\auditpolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=applyauditpolicy.cmdset AuditPolicyTxt=auditpolicy.txtREM ###################################################REM ryd logfil & start nyREM ###################################################if exist %AuditPolicyLog% del %AuditPolicyLog% /q /fdate /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%echo.REM ###################################################REM kontroller operativsystemversionREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho OS Version=%osversion% >> %AuditPolicyLog%REM ###################################################REM spring versioner før Vista overREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM hent domænenavnREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Machine domain=%machinedomain% >> %AuditPolicyLog%REM ###################################################REM kopier scriptpolitik til lokal mappe eller afslutREM ###################################################xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (  echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%  exit /b 1) else (  echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%)xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (  echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%  exit /b 1) else (  echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%)REM ###################################################REM opret navngivet planlagt opgave til anvendelse af politikREM ###################################################%systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"if %ERRORLEVEL% NEQ 0 (  echo Failed to create scheduled task for Audit >> %AuditPolicyLog%  exit /b 1) else (  echo Created scheduled task for Audit >> %AuditPolicyLog%)REM ###################################################REM start navngivet planlagt opgave til anvendelse af politikREM ###################################################%systemroot%\system32\schtasks.exe /run /tn auditif %ERRORLEVEL% NEQ 0 (  Failed to execute scheduled task for Audit >> %AuditPolicyLog%) else (  echo Executed scheduled task for Audit >> %AuditPolicyLog%)
  3. Klik på Gem i menuen Filer.
  4. Klik på Alle filer i feltet Filtype, skriv AuditPolicy.cmd i feltet Filnavn, og klik derefter på Gem.
 2. Opret ApplyAuditPolicy.cmd-scriptet. Det kan du gøre ved at benytte denne fremgangsmåde:
  1. Start Notesblok, og åbn derefter et tomt dokument.
  2. Sæt følgende kode ind i dokumentet i Notesblok:
   @echo offREM ApplyAuditPolicy.cmdREM (c) 2006 Microsoft Corporation. Alle rettigheder forbeholdes.REM eksempelovervågningsscript til installation af Windows VistaREM granulære indstillinger for overvågningspolitik.REM ###################################################REM angiv variabler, så det kun er nødvendigt at redigere filenREM navne/stier på ét sted i scriptetREM ###################################################set DeleteAudit=DeleteAudit.txtset AuditPolicyLog=%systemroot%\temp\AuditPolicy.logset ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=ApplyAuditpolicy.cmdset AuditPolicyTxt=AuditPolicy.txtREM ###################################################REM ryd logfil & start nyREM ###################################################if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /fdate /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%echo.REM ###################################################REM kontroller operativsystemversionREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho OS Version=%osversion% >> %ApplyAuditPolicyLog%REM ###################################################REM spring versioner før Vista overREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM hent domænenavnREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%REM ###################################################REM slet overvågningsopgaveREM skal kun bruges til at fjerne pseudopolitikken fraREM klientmaskiner (udviklet til fremtidige versioner af Vista,REM hvor der ikke længere vil være behov for scriptet, ogREM scriptet derfor skal udelades).REM bruges ved at oprette en fil i NETLOGON med et navn,REM der passer til indholdet i variablen DeleteAudit (ovenfor)REM ###################################################if exist \\%machinedomain%\netlogon\%DeleteAudit% (  %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F  DEL %AuditPolicyLog%  DEL %ApplyAuditPolicyLog%  DEL %OSVersionSwap%  DEL %OsVersionTxt%  DEL %MachineDomainTxt%  DEL %MachineDomainSwap%  DEL %systemroot%\temp\%ApplyAuditPolicyCMD%  DEL %systemroot%\temp\%AuditPolicyTxt%  exit /b 1) REM ###################################################REM kopier overvågningspolitik til lokal mappeREM er fejltolerant, eftersom kopien udelukkende erREM en "opdatering til cachefilen".REM ###################################################xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (  echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%) else (  echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%)REM ###################################################REM anvend politikREM ###################################################%systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%if %ERRORLEVEL% NEQ 0 (  Failed to apply audit settings >> %ApplyAuditPolicyLog%) else (  echo Successfully applied audit settings >> %ApplyAuditPolicyLog%)
  3. Klik på Gem i menuen Filer.
  4. Klik på Alle filer i feltet Filtype, skriv ApplyAuditPolicy.cmd i feltet Filnavn, og klik derefter på Gem.
 3. Kopier scriptet AuditPolicy.cmd og scriptet ApplyAuditPolicy.cmd til Netlogon-sharet for den domænecontroller, som udfører rollen som primær domænecontrolleremulator.
 4. Vent på, at Active Directory-replikeringen startes. Vent, indtil filer og mapper i den delte mappe på systemenheden (SYSVOL) er blevet replikeret til domænecontrollere på domænet.
 5. Føj startscriptet til standarddomænepolitikken. Det kan du gøre ved at benytte denne fremgangsmåde:
  1. Start værktøjet Active Directory-brugere og -computere.
  2. Højreklik på DomainName, og klik derefter på Egenskaber.
  3. Klik på fanen Gruppepolitik, klik på Standarddomænepolitik, og klik derefter på Rediger. Værktøjet Editor til gruppepolitikobjekter startes.
  4. Udvid Computerkonfiguration, udvid Windows-indstillinger, og klik derefter på Scripts (Start/Lukning).
  5. Dobbeltklik på Start, og klik derefter på Tilføj.
  6. Skriv UNC-stien (universal naming convention) til filen AuditPolicy.cmd, som er placeret i Netlogon-sharet, i feltet Script-navn. Brug følgende format:
   \\FullyQualifiedDomainName\Netlogon\AuditPolicy.cmd
   Du kan f.eks. skrive \\contoso.com\netlogon\auditpolicy.cmd.
  7. Klik på OK to gange.

Trin 4: Kontroller, at indstillingerne for sikkerhedsovervågning anvendes

 1. Vent på, at Active Directory-replikeringen startes. Vent, indtil filer og mapper i den delte mappe på systemenheden (SYSVOL) er blevet replikeret til domænecontrollere på domænet.
 2. Genstart en Windows Vista-klientcomputer, som er knyttet til domænet. Log derefter på computeren som en bruger med administratorrettigheder.
 3. Klik på Start, peg på Alle programmer, og klik derefter på Tilbehør.
 4. Højreklik på Kommandoprompt, og klik derefter på Kør som administrator.
 5. Klik på Fortsæt i dialogboksen Brugerkontokontrol.
 6. Skriv følgende linje ved kommandoprompten, og tryk derefter på ENTER:
  auditpol /get /category:*
 7. Kontroller, at de indstillinger for sikkerhedsovervågning, der vises ved kommandoprompten, svarer til de indstillinger, der blev konfigureret i filen AuditPolicy.txt under "Trin 1: Find frem til de indstillinger for sikkerhedsovervågning, du vil installere på klientcomputerne med Windows Vista".

  I tilfælde af uoverensstemmelse mellem indstillingerne for sikkerhedsovervågning, skal du kigge i den logfil, som oprettes i mappen %SystemRoot%\Temp, når startscriptet køres. Hvis logfilen ikke findes i mappen %SystemRoot%\Temp, skal du undersøge Windows Vista-klientcomputeren for at finde årsagen til, at Gruppepolitik ikke anvendes.
Referencer
Du kan få flere oplysninger om, hvordan startscripts konfigureres i Active Directory, på følgende Microsoft-websteder: Du kan få flere oplysninger om GPMC (Group Policy Management Console) på følgende Microsoft-websted:Du kan få flere oplysninger om kommandolinjeværktøjet Auditpol.exe og kommandolinjeværktøjet Schtasks.exe i Hjælp og support til Windows Vista.
granular
Egenskaber

Artikel-id: 921469 – Seneste udgave 02/21/2007 17:54:08 – Udgave 4.0

Windows Vista Ultimate, Windows Vista Business, Windows Vista Enterprise

 • kbexpertiseinter kbhowto kbinfo KB921469
Feedback