監査ポリシーの設定と AuditPol コマンドの実行結果に差異が発生する

適用対象: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 R2 Datacenter

現象


[前提]
アカウント ログオンイベントの監査を一例としますが、ポリシーの設定では以下の設定となっているものとします。

基本の監査ポリシー:「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」‐ アカウント ログオンイベントの監査 > 監査しない
詳細な監査ポリシー:「セキュリティの設定」-「監査ポリシーの詳細な構成」‐ 「監査ポリシー」‐ アカウントログオン > 未構成

この状態でauditpol コマンドを確認しますと以下の設定状況となっており、監査ポリシーの設定と AuditPol コマンドの実行結果に差異が発生する結果となります。

------
Kerberosサービスチケット操作        成功
その他のアカウントログオンイベント     監査なし
Kerberos認証サービス                成功
資格情報の確認                 成功
------

原因


GPO やローカル コンピュータ ポリシーの基本の監査ポリシーにおいて、アカウント ログオンイベントの監査が未構成である場合、内部的には「監査しない」の設定と扱われています。
その為、明示的に"監査しない" 設定にした場合には、既定の設定から変更が加えられないため、監査ポリシーの詳細な設定にて既定として設定されている状態から、変更されません。
サーバーエディションの場合は、以下の既定値が設定されているため、結果として AuditPol コマンドで確認できる内容と、GPO やローカル コンピュータ ポリシーでの表記と見かけ上差異が発生する状況となります。

------
Kerberosサービスチケット操作   成功
その他のアカウントログオンイベント 監査なし
Kerberos認証サービス       成功
資格情報の確認           成功
------

回避策


以下のいずれかの方法を実施いただくことにより、監査ポリシーの設定と AuditPol コマンドの実行結果にずれが発生しなくなります。

1. GPO やローカル コンピュータポリシーの基本の監査ポリシーで監査の設定を  "監査しない" 以外に一旦設定後、再度設定をし直す。
2. Auditpol /clear コマンドを実行すると、既定の設定が一度リセットされるため、既定値をリセット後に再度設定をし直す。