監査ポリシーの設定と AuditPol コマンドの実行結果に差異が発生する

現象
[前提]
アカウント ログオンイベントの監査を一例としますが、ポリシーの設定では以下の設定となっているものとします。

基本の監査ポリシー:「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」‐ アカウント ログオンイベントの監査 > 監査しない
詳細な監査ポリシー:「セキュリティの設定」-「監査ポリシーの詳細な構成」‐ 「監査ポリシー」‐ アカウントログオン > 未構成

この状態でauditpol コマンドを確認しますと以下の設定状況となっており、監査ポリシーの設定と AuditPol コマンドの実行結果に差異が発生する結果となります。

------
Kerberosサービスチケット操作        成功
その他のアカウントログオンイベント     監査なし
Kerberos認証サービス                成功
資格情報の確認                 成功
------
原因
GPO やローカル コンピュータ ポリシーの基本の監査ポリシーにおいて、アカウント ログオンイベントの監査が未構成である場合、内部的には「監査しない」の設定と扱われています。
その為、明示的に"監査しない" 設定にした場合には、既定の設定から変更が加えられないため、監査ポリシーの詳細な設定にて既定として設定されている状態から、変更されません。
サーバーエディションの場合は、以下の既定値が設定されているため、結果として AuditPol コマンドで確認できる内容と、GPO やローカル コンピュータ ポリシーでの表記と見かけ上差異が発生する状況となります。

------
Kerberosサービスチケット操作   成功
その他のアカウントログオンイベント 監査なし
Kerberos認証サービス       成功
資格情報の確認           成功
------
回避策
以下のいずれかの方法を実施いただくことにより、監査ポリシーの設定と AuditPol コマンドの実行結果にずれが発生しなくなります。

1. GPO やローカル コンピュータポリシーの基本の監査ポリシーで監査の設定を  "監査しない" 以外に一旦設定後、再度設定をし直す。
2. Auditpol /clear コマンドを実行すると、既定の設定が一度リセットされるため、既定値をリセット後に再度設定をし直す。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2855812 - 最終更新日: 09/29/2016 10:17:00 - リビジョン: 3.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard

  • KB2855812
フィードバック