Du er frakoblet, venter på at Internett skal koble til igjen

Bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene

Sammendrag
Denne artikkelen beskriver hvordan du kan bruke gruppepolicy til å konfigurere sikkerhetslogginnstillinger for Microsoft Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene. Med Windows Vista kan du administrere overvåkingspolicyer på et mer detaljert nivå ved å bruke underkategorier for overvåkingspolicy. Denne artikkelen beskriver en fremgangsmåte som administratorer kan bruke til å distribuere en egendefinert overvåkingspolicy som bruker detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner.
INNLEDNING
Denne artikkelen tar for seg hvordan du kan bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene. I Windows Vista har du mer kontroll over individuelle underkategorier for overvåkingspolicy enn i tidligere versjoner av Windows-operativsystemer. De individuelle underkategoriene for overvåkingspolicy som er tilgjengelige i Windows Vista, vises ikke i grensesnittet til verktøyene for gruppepolicy. Administratorer kan bruke fremgangsmåten i denne artikkelen til å distribuere en egendefinert overvåkingspolicy som bruker detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene.
Mer informasjon

Vurder følgende

Nedenfor finner du noen ting du bør vurdere før du gjennomfører fremgangsmåten i denne artikkelen:
  • Fremgangsmåten bruker kodeeksempel. Eksempelkoden bruker nettpåloggingsressursen. Eksempelkoden bruker også %Systemrot%\Temp-mappen som hurtigbuffer.
  • Fremgangsmåten bruker eksempeldomenet Contoso.com.
  • Fremgangsmåten tar utgangspunkt i at følgende betingelser er oppfylt:
    • Du har erfaring med følgende teknologi og verktøy:
      • Gruppepolicy-oppstartsskript
      • Group Policy Management Console
      • Kommandolinjeverktøyet Auditpol.exe
    • Du har en grunnleggende forståelse av behandling av satsvise filer.
    • Du kan konfigurere en overvåkingspolicy for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene. Overvåkingspolicy er tilordnet standard domenepolicy.
  • Du har erfaring med skriptene som brukes i fremgangsmåten til å overstyre eldre domenebaserte innstillinger for overvåkingspolicy med de detaljerte innstillingene for overvåkingspolicy som er tilgjengelige i Windows Vista. Hvis du ikke vil konfigurere de detaljerte innstillingene for overvåkingspolicy som er tilgjengelige i Windows Vista, bør du ikke bruke fremgangsmåten i denne artikkelen.

Bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner

Bruk følgende fremgangsmåte hvis du vil bruke gruppepolicy til å konfigurere detaljerte sikkerhetslogginnstillinger for Windows Vista-klientdatamaskiner i et Windows Server 2003-domene eller et Windows 2000-domene.

Trinn 1: Velg sikkerhetslogginnstillingene som du vil distribuere til Windows Vista-klientdatamaskiner

  1. Logg deg på en datamaskin som kjører Windows Vista, som en bruker med administratorrettigheter.
  2. Klikk Start, velg Alle programmer, klikk Tilbehør, høyreklikk Ledetekst, og klikk deretter Run as administrator.
  3. Klikk Fortsett i dialogboksen Brukerkontokontroll.
  4. Tøm standardinnstillingene for overvåkingspolicy. Hvis du vil gjøre dette, skriver du inn følgende linje ved ledeteksten og trykker Enter:
    auditpol /clear
  5. Bruk kommandolinjeverktøyet Auditpol.exe til å konfigurere dine egendefinerte innstillinger for overvåkingspolicy.

    Skriv for eksempel inn linjene nedefor ved ledeteksten. Trykk Enter etter hver linje.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Obs!  Hvis du vil se alle kategoriene og underkategoriene, skriver du inn følgende linje ved ledeteksten og trykker Enter:
    auditpol /list /subcategory:*
  6. Skriv inn følgende linje ved ledeteksten, og trykk deretter Enter:
    auditpol /backup /file:auditpolicy.txt
  7. Kopier filen Auditpolicy.txt til nettpåloggingsressursen i domenekontrolleren som har emulatorrollen for den primære domenekontrolleren (PDC) i domenet.

    Filen Auditpolicy.txt inneholder alle innstillingene du har konfigurert for overvåkingspolicy. Oppstartsskriptet bruker denne filen til å anvende policyen på nytt. Når du har brukt oppstartsskriptet én gang, må du ikke starte datamaskinen på nytt for å oppdatere innstillingene for overvåkingspolicy. Hvis du vil oppdatere innstillingene for overvåkingspolicy, må du overskrive den tidligere versjonen av Auditpolicy.txt som du kopierte til nettpåloggingsressursen. Du kan gjøre dette ved å opprette en ny Auditpolicy.txt-fil og deretter kopiere den nye Auditpolicy.txt-filen til nettpåloggingsressursen.

Trinn 2: Forhindre at eldre domenebasert overvåkingspolicy overskriver overvåkingspolicyen på Windows Vista-klientdatamaskiner

Hvis du vil forhindre at eldre domenebasert overvåkingspolicy skal overskrive overvåkingspolicyen, må du aktivere policyinnstillingen Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings. Dette forhindrer at domenebasert overvåkingspolicy overskriver de mer detaljerte innstillingene for overvåkingspolicy på Windows Vista-klientdatamaskiner. Slik gjør du dette:
  1. Åpne Standard domenepolicy på en Windows Vista-klientdatamaskin som er knyttet til domenet.
  2. Utvid Datamaskinkonfigurasjon, utvid Windows-innstillinger, utvid Sikkerhetsinnstillinger, utvid Lokale policyer, og klikk deretter Sikkerhetsalternativer.
  3. Dobbeltklikk "Overvåking: Fremtving underkategoriinnstillinger for overvåkingspolicy (Windows Vista eller senere) for å overstyre kategoriinnstillinger for overvåkingspolicy".
  4. Klikk Aktivert, og klikk deretter OK.

Trinn 3: Opprett skriptene, og legg deretter skriptene til nettpåloggingsressursen

Programmeringseksemplene som Microsoft bruker, er kun eksempler. Microsoft gir ingen garantier, uttrykt eller underforstått. Dette inkluderer, men er ikke begrenset til, underforståtte garantier om salgbarhet eller anvendelighet for særskilte formål. Denne artikkelen forutsetter at du er kjent med programmeringsspråket som brukes, og med verktøyene som brukes til å opprette og feilsøke prosedyrer. Microsofts kundestøtteteknikere kan være behjelpelige med å forklare funksjonaliteten til en bestemt prosedyre, men de kommer ikke til å endre disse eksemplene for å gi forbedret funksjonalitet eller opprette prosedyrer for å dekke dine bestemte behov.
  1. Opprett skriptet AuditPolicy.cmd. Slik gjør du dette:
    1. Start Notisblokk, og åpne deretter et tomt dokument.
    2. Lim inn følgende kode i Notisblokk-dokumentet:
      @echo offREM AuditPolicy.cmdREM (c) 2006 Microsoft Corporation.  All rights reserved.REM Sample Audit Script to deploy Windows VistaREM Granular Audit Policy settings.REM Should be run as a startup script from Group PolicyREM ###################################################REM Declare Variables so that we only need to edit fileREM names/paths in one location in scriptREM ###################################################set AuditPolicyLog=%systemroot%\temp\auditpolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=applyauditpolicy.cmdset AuditPolicyTxt=auditpolicy.txtREM ###################################################REM Clear Log & start freshREM ###################################################if exist %AuditPolicyLog% del %AuditPolicyLog% /q /fdate /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%echo.REM ###################################################REM Check OS VersionREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho OS Version=%osversion% >> %AuditPolicyLog%REM ###################################################REM Skip Pre-VistaREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM Get Domain NameREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Machine domain=%machinedomain% >> %AuditPolicyLog%REM ###################################################REM Copy Script & Policy to Local Directory or TerminateREM ###################################################xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (    echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%    exit /b 1) else (    echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%)xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (    echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%    exit /b 1) else (    echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%)REM ###################################################REM Create Named Scheduled Task to Apply PolicyREM ###################################################%systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"if %ERRORLEVEL% NEQ 0 (    echo Failed to create scheduled task for Audit >> %AuditPolicyLog%    exit /b 1) else (    echo Created scheduled task for Audit >> %AuditPolicyLog%)REM ###################################################REM Start Named Scheduled Task to Apply PolicyREM ###################################################%systemroot%\system32\schtasks.exe /run /tn auditif %ERRORLEVEL% NEQ 0 (    Failed to execute scheduled task for Audit >> %AuditPolicyLog%) else (    echo Executed scheduled task for Audit >> %AuditPolicyLog%)
    3. Klikk LagreFil-menyen.
    4. I Filtype-boksen klikker du Alle filer, skriver AuditPolicy.cmd i Filnavn-boksen, og deretter klikker du Lagre.
  2. Opprett skriptet ApplyAuditPolicy.cmd. Slik gjør du dette:
    1. Start Notisblokk, og åpne deretter et tomt dokument.
    2. Lim inn følgende kode i Notisblokk-dokumentet:
      @echo offREM ApplyAuditPolicy.cmdREM (c) 2006 Microsoft Corporation.  All rights reserved.REM Sample Audit Script to deploy Windows VistaREM Granular Audit Policy settings.REM ###################################################REM Declare Variables so that we only need to edit fileREM names/paths in one location in scriptREM ###################################################set DeleteAudit=DeleteAudit.txtset AuditPolicyLog=%systemroot%\temp\AuditPolicy.logset ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=ApplyAuditpolicy.cmdset AuditPolicyTxt=AuditPolicy.txtREM ###################################################REM Clear Log & start freshREM ###################################################if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /fdate /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%echo.REM ###################################################REM Check OS VersionREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho OS Version=%osversion% >> %ApplyAuditPolicyLog%REM ###################################################REM Skip Pre-VistaREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM Get Domain NameREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%REM ###################################################REM Delete Audit TaskREM Should only be used to remove the pseudo-policy fromREM client machines (designed for future Vista revisionsREM where this script will no longer be necessary, and thisREM script needs to be backed out).REM to use, simply create a file in NETLOGON with a nameREM that matches the contents of DeleteAudit variable (above)REM ###################################################if exist \\%machinedomain%\netlogon\%DeleteAudit% (    %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F    DEL %AuditPolicyLog%    DEL %ApplyAuditPolicyLog%    DEL %OSVersionSwap%    DEL %OsVersionTxt%    DEL %MachineDomainTxt%    DEL %MachineDomainSwap%    DEL %systemroot%\temp\%ApplyAuditPolicyCMD%    DEL %systemroot%\temp\%AuditPolicyTxt%    exit /b 1) REM ###################################################REM Copy Audit Policy to Local DirectoryREM This is tolerant of failures since the copy is justREM a "cache refresh".REM ###################################################xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (    echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%) else (    echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%)REM ###################################################REM Apply PolicyREM ###################################################%systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%if %ERRORLEVEL% NEQ 0 (    Failed to apply audit settings >> %ApplyAuditPolicyLog%) else (    echo Successfully applied audit settings >> %ApplyAuditPolicyLog%)
    3. Klikk LagreFil-menyen.
    4. I Filtype-boksen klikker du Alle filer, skriver ApplyAuditPolicy.cmd i Filnavn-boksen, og klikker deretter Lagre.
  3. Kopier skriptene AuditPolicy.cmd og ApplyAuditPolicy.cmd til nettpåloggingsressursen i domenekontrolleren som har emulatorrollen for PDC i domenet.
  4. Vent til Active Directory-replikeringen utføres. Vent også til alle filene og mappene i den delte mappen i systemvolumet (SYSVOL) blir replikert på domenekontrollerne i domenet.
  5. Legg til oppstartsskriptet i Standard domenepolicy. Slik gjør du dette:
    1. Start verktøyet Active Directory-brukere og -datamaskiner.
    2. Høyreklikk Domenenavn, og klikk deretter Egenskaper.
    3. Velg kategorien Gruppepolicy, klikk Standard domenepolicy, og klikk deretter Rediger. Verktøyet Redigeringsprogram for gruppepolicyobjekt starter.
    4. Utvid Datamaskinkonfigurasjon, utvid Windows-innstillinger, og klikk deretter Skript (oppstart/avslutning).
    5. Dobbeltklikk Oppstart, og klikk deretter Legg til.
    6. I Skriptnavn-boksen skriver du inn UNC-banen (Universal Naming Convention) til filen AuditPolicy.cmd som er i nettpåloggingsressursen. Bruk følgende format:
      \\Kvalifisertdomenenavn\Netlogon\AuditPolicy.cmd
      Skriv for eksempel \\contoso.com\netlogon\auditpolicy.cmd.
    7. Klikk OK to ganger.

Trinn 4: Kontroller at sikkerhetslogginnstillingene ble brukt

  1. Vent til Active Directory-replikeringen utføres. Vent også til alle filene og mappene i den delte mappen i systemvolumet (SYSVOL) blir replikert på domenekontrollerne i domenet.
  2. Start en Windows Vista-klientdatamaskin som er knyttet til domenet, på nytt. Logg deg deretter på datamaskinen som bruker med administratorrettigheter.
  3. Klikk Start, pek på Alle programmer og pek deretter på Tilbehør.
  4. Høyreklikk Ledetekst, og klikk deretter Run as administrator.
  5. Klikk Fortsett i dialogboksen Brukerkontokontroll.
  6. Skriv inn følgende linje ved ledeteksten, og trykk deretter Enter:
    auditpol /get /category:*
  7. Kontroller at sikkerhetslogginnstillingene som vises ved ledeteksten, svarer til innstillingene som er konfigurert i filen AuditPolicy.txt, som du opprettet i Trinn 1: Velg sikkerhetslogginnstillingene som du vil distribuere til Windows Vista-klientdatamaskiner.

    Hvis sikkerhetslogginnstillingene ikke samsvarer, må du undersøke loggfilene som genereres med oppstartsskriptet i %Systemrot%\Temp-mappen. Hvis det ikke er noen loggfiler i %Systemrot%\Temp-mappen, må du undersøke Windows Vista-klientdatamaskinen for å finne ut hvorfor gruppepolicy ikke ble brukt.
Referanser
Hvis du vil ha mer informasjon om hvordan du konfigurerer oppstartsskript i Acitve Directory, kan du gå til følgende Microsoft-webområder. Hvis du vil ha mer informasjon om Group Policy Management Console, kan du gå til følgende Microsoft-webområde:Hvis du vil ha mer informasjon om kommandolinjeverktøyene Auditpol.exe og Schtasks.exe, kan du se Hjelp og støtte for Windows Vista.
granular
Egenskaper

Artikkel-ID: 921469 – Forrige gjennomgang: 01/22/2007 17:02:00 – Revisjon: 4.0

Windows Vista Ultimate, Windows Vista Business, Windows Vista Enterprise

  • kbhowto kbinfo kbexpertiseinter KB921469
Tilbakemelding