Ustawienia inspekcji zabezpieczeń nie są stosowane do komputerów z systemem Windows Vista i systemem Windows Server 2008 podczas wdrażania zasad opartych na domenie

Dotyczy: Windows Server 2008

Symptomy


Uwzględnij następujący scenariusz. Aby skonfigurować ustawienia inspekcji zabezpieczeń na komputerach z systemem Windows Vista lub Windows Server 2008 w domenie usługi katalogowej Active Directory, należy wdrożyć zasady oparte na domenie. Narzędzie wynikowy zestaw zasad (RSoP) jest uruchamiane na jednym z komputerów z systemem Windows Vista lub Windows Server 2008. Po wykonaniu tej czynności narzędzie RSoP wskazuje, że zasada jest stosowana. Jednak zasady te nie są obecnie stosowane do jednego lub większej liczby komputerów z systemem Windows Vista lub Windows Server 2008.

Przyczyna


Ten problem występuje, jeśli w systemie Windows Vista lub Windows Server 2008 jest włączone ustawienie zasad "Wymuś ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji". Ustawienie zasad można włączyć za pomocą zasad grupy lub można je włączyć ręcznie, modyfikując rejestr.

Rozwiązanie


Aby rozwiązać ten problem, użyj jednej z następujących metod, stosownie do sytuacji.

Metoda 1: wyłączanie ustawienia zasad za pomocą Edytora obiektów zasad grupy

Sprawdź, czy ustawienie zasad zostało włączone za pomocą zasad grupy, a następnie wyłącz je za pomocą Edytora obiektów zasad grupy. W tym celu wykonaj następujące czynności:
  1. Sprawdź, czy ustawienia zasad "Wymuś podkategorię zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji" zostały włączone przy użyciu zasad grupy. W tym celu wykonaj następujące czynności:
    1. Na komputerze kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie akcesoria, kliknij polecenie Uruchom, wpisz RSoP. msc w polu Otwórz , a następnie kliknij przycisk OK.
    2. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
    3. Kliknij dwukrotnie pozycję Inspekcja: Wymuś ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji.
    4. Upewnij się, że ustawiono ustawienie zasady włączone, a następnie zanotuj obiekt zasad grupy (GPO).
  2. Wyłącz ustawienie zasad "Wymuś ustawienia kategorii zasad inspekcji (system Windows Vista lub nowszy)", aby zastąpić ustawienia zasad inspekcji w obiekcie zasad grupy. W tym celu wykonaj następujące czynności:
    1. W Edytorze obiektów zasad grupy Otwórz obiekt GPO.
    2. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
    3. Kliknij dwukrotnie pozycję Inspekcja: Wymuś ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji.
    4. Kliknij pozycję wyłączone, a następnie kliknij przycisk OK.
  3. Uruchom ponownie komputer lub komputery.

Metoda 2: wyłączanie ustawienia zasad za pomocą edytora rejestru

Ważne W tej sekcji, metodzie lub zadaniu przedstawiono procedurę modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonać te czynności. Aby zwiększyć ochronę, przed zmodyfikowaniem rejestru Utwórz jego kopię zapasową. Po wystąpieniu problemu możesz przywrócić rejestr. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Aby ręcznie wyłączyć ustawienie zasad przy użyciu Edytora rejestru, wykonaj następujące czynności:
  1. Zaloguj się do systemu Windows Vista lub Windows Server 2008 jako użytkownik będący członkiem grupy Administratorzy.
  2. Kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie akcesoria, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK. Jeśli na ekranie pojawi się okno dialogowe Kontrola konta użytkownika i zostanie wyświetlony monit o podniesienie poziomu tokenu administratora, kliknij przycisk Kontynuuj.
  3. Zlokalizuj, a następnie kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  4. Kliknij prawym przyciskiem myszy pozycję SCENoApplyLegacyAuditPolicy, a następnie kliknij polecenie Modyfikuj.
  5. Wpisz wartość 0 w polu dane wartości , a następnie kliknij przycisk OK.
  6. Zamknij Edytor rejestru.
  7. Uruchom ponownie komputer.
Uwaga Jeśli zasada jest zasadą opartą na domenie i nie jest to zasada oparta na lokalnie, może być konieczne zaczekanie na ukończenie replikacji usługi Active Directory i replikacji folderu SYSVOL, zanim zaczną obowiązywać ustawienia zasad na komputerach.

Więcej informacji


System Windows Vista i nowsze wersje systemu Windows umożliwiają zarządzanie zasadami inspekcji w bardziej precyzyjny sposób za pomocą podkategorii zasad inspekcji. Jeśli skonfigurujesz zasady inspekcji na poziomie kategorii, zostaną zastąpione podkategorie zasady inspekcji. Jeśli chcesz zarządzać zasadami inspekcji za pomocą podkategorii zasad inspekcji, a nie chcesz używać zasad grupy, możesz skonfigurować wpis rejestru SCENoApplyLegacyAuditPolicy. Konfigurując wpis rejestru SCENoApplyLegacyAuditPolicy, można zapobiec stosowaniu zasad inspekcji na poziomie kategorii, które zostały skonfigurowane za pomocą zasad grupy lub narzędzia zasady zabezpieczeń lokalnych. Należy jednak pamiętać, że ustawienie zasad może nie zostać wymuszone, jeśli inne zasady są skonfigurowane w celu zastąpienia zasad inspekcji na poziomie kategorii. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
921469 Jak skonfigurować szczegółowe ustawienia inspekcji zabezpieczeń komputerów klienckich z systemem Windows Vista w domenie systemu Windows Server 2003 lub Windows 2000 przy użyciu zasad grupy