ドメイン ベースのポリシーを展開するときに、Windows Vista ベースのコンピューターと Windows Server 2008 ベースのコンピューターにセキュリティ監査設定が適用されない

  • [アーティクル]

この記事では、ドメイン ベースのポリシーを展開するときに、Active Directory ドメイン内のクライアント コンピューターにセキュリティ監査設定が適用されない問題を解決するためのヘルプを提供します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 921468

現象

次のような状況を想定します。 ドメイン ベースのポリシーを展開して、Active Directory ディレクトリ サービス ドメイン内の Windows Vista ベースまたは Windows Server 2008 ベースのコンピューターでセキュリティ監査設定を構成します。 Windows Vista ベースまたは Windows Server 2008 ベースのコンピューターのいずれかで、ポリシーの結果セット (RSoP) ツールを実行します。 これを行うと、RSoP ツールはポリシーが適用されていることを示します。 ただし、ポリシーは、1 つ以上の Windows Vista ベースまたは Windows Server 2008 ベースのコンピューターには実際には適用されません。

原因

この問題は、Windows Vista または Windows Server 2008 で [監査ポリシー サブカテゴリ設定 (Windows Vista 以降) による監査ポリシー カテゴリ設定の上書きを強制する] ポリシー設定が有効になっている場合に発生します。 ポリシー設定は、グループ ポリシーを使用して有効にすることも、レジストリを変更して手動で有効にすることもできます。

この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。

解決策 1: グループ ポリシー オブジェクト エディターを使用してポリシー設定を無効にする

グループ ポリシーを使用してポリシー設定が有効になっていることを確認し、オブジェクト エディターグループ ポリシー使用してポリシー設定を無効にします。 これを行うには、次の手順を実行します。

  1. グループ ポリシーを使用して、[監査ポリシー のサブカテゴリ設定を強制 (Windows Vista 以降) で監査ポリシー カテゴリ設定を上書きする] ポリシー設定が有効になっていることを確認します。 これを行うには、次の手順を実行します。

    1. コンピューターで [スタート] をクリックし、[すべてのプログラム] をポイントし、[アクセサリ] をクリックし、[実行] をクリックし、[開く] ボックスに「rsop.msc」と入力して、[OK] をクリックします
    2. [ コンピューターの構成] を展開し 、[Windows 設定] を展開し 、[セキュリティ設定] を展開し、[ ローカル ポリシー] を展開して、[ セキュリティ オプション] をクリックします。
    3. [監査: 監査ポリシー のサブカテゴリ設定 (Windows Vista 以降)] をダブルクリックして、監査ポリシー カテゴリの設定を上書きします
    4. ポリシー設定が [有効] に設定されていることを確認し、グループ ポリシー オブジェクト (GPO) をメモします。

  2. GPO の [監査ポリシー のサブカテゴリ設定を強制する (Windows Vista 以降)] ポリシー設定を無効にします。 これを行うには、次の手順を実行します。

    1. グループ ポリシー オブジェクト エディターで、GPO を開きます。
    2. [ コンピューターの構成] を展開し 、[Windows 設定] を展開し 、[セキュリティ設定] を展開し、[ ローカル ポリシー] を展開して、[ セキュリティ オプション] をクリックします。
    3. [監査: 監査ポリシー のサブカテゴリ設定 (Windows Vista 以降)] をダブルクリックして、監査ポリシー カテゴリの設定を上書きします
    4. [ 無効] をクリックし、[OK] をクリック します

  3. コンピューターまたはコンピューターを再起動します。

解決策 2: レジストリ エディターを使用してポリシー設定を無効にする

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

レジストリ エディターを使用してポリシー設定を手動で無効にするには、次の手順に従います。

  1. 管理者グループのメンバーであるユーザーとして、Windows Vista または Windows Server 2008 にログオンします。
  2. [スタート] をクリックし、[すべてのプログラム] をポイントし、[アクセサリ] をクリックし、[実行] をクリックし、[開く] ボックスに「regedit」と入力して、[OK] をクリックします。 画面に [ ユーザー アカウント制御 ] ダイアログ ボックスが表示され、管理者トークンの昇格を求めるメッセージが表示されたら、[ 続行] をクリックします。
  3. レジストリ サブキー HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA を見つけて選択します。
  4. [SCENoApplyLegacyAuditPolicy] を右クリックし、[変更] をクリックします。
  5. [値データ] ボックスに「0」と入力し、[OK] をクリックします
  6. レジストリ エディターを終了します。
  7. コンピューターを再起動します。

注:

ポリシーがドメイン ベースのポリシーであり、ローカル ベースのポリシーではない場合は、Active Directory レプリケーションと SYSVOL レプリケーションが完了するまで待ってから、ポリシー設定がコンピューターで有効になる必要があります。

詳細

Windows Vista 以降のバージョンの Windows では、監査ポリシー サブカテゴリを使用して、より正確な方法で監査ポリシーを管理できます。 カテゴリ レベルで監査ポリシーを構成する場合は、監査ポリシー のサブカテゴリをオーバーライドします。

監査ポリシー サブカテゴリを使用して監査ポリシーを管理し、グループ ポリシーを使用しない場合は、SCENoApplyLegacyAuditPolicy レジストリ エントリを構成できます。 SCENoApplyLegacyAuditPolicy レジストリ エントリを構成すると、グループ ポリシーまたはローカル セキュリティ ポリシー ツールを使用して構成されたカテゴリ レベルの監査ポリシーが適用されないようにします。

ただし、カテゴリ レベルの監査ポリシーをオーバーライドするように別のポリシーが構成されている場合、ポリシー設定が適用されない可能性があることに注意してください。