Jump to content

Einstellungen der Advance Audit Policy GPO wird in der lokalen gpmc nicht angezeigt


Direkt zur Lösung Gelöst von daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe folgendes Problem.

Ich habe eine neue GPO erstellt in der ich die Advance Audit Policy konfiguriert z.b. für File Zugriff aktiviert habe. Ebenso habe ich folgende Einstellung in den Sicherheitsoptionen aktiviert -> Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen

 

Wenn ich diese GPO nun auf den betroffenen Server aktiviere und mir dort per gpedit.msc die GPO Einstellungen anzeigen lasse, stehen weiterhin alle Advance Audit Policys auf nicht konfiguriert.

Prüfe ich die Einstellung per auditpol /get /category:*, sehe ich das sie aber korrekt eingestellt sind.

 

Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll, damit es eben in der lokalen gpmc sichtbar ist. Das kann ich mir aber nicht vorstellen und hatte das auch getestet, war trotzdem nicht sichtbar.

 

Kennt jemand das Problem und weiß wie ich es lösen kann?

Link zu diesem Kommentar

Beides falsch... Und die Default Domain Policy fasst man am besten gar nicht an, die hat eine unheilige Beziehung zum Domain Head.

 

gpedit.msc zeigt Dir die "lokale Policy" an. Was da drinsteht (oder auch nicht), wird von Domain Policies überschrieben. Und das Gesamtergebnis findest Du dann in auditpol. Oder auch nicht :-) https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/ba-p/399010

  • Danke 1
  • Haha 1
Link zu diesem Kommentar
vor 3 Stunden schrieb phatair:
 

Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll, 

Das wäre ja schlimm, denn das würde ja heißen, dass es nur eine Audit Policy pro Domain geben kann.

 

Vielleicht verwechselst Du das mit der Password & Lockout Policy - auf die trifft beides zu: Kann es nur einmal geben und muss in der DDP gesetzt werden.

Link zu diesem Kommentar

Hallo zusammen,

 

danke euch.

Ich hatte das nicht in einem offiziellen MS Dokument gelesen, diese Behauptung hatte jemand im MS Forum aufgestellt

https://learn.microsoft.com/en-us/answers/questions/123130/advance-audit-policy-no-longer-applying-after-runn

 

Mir ist klar, dass ich mit gpedit.msc die lokalen Richtlinien sehe und diese von den Domain Policies überschrieben werden.

Ich dachte nur, dass ich die Advanced Audit Policy "Überschreibungen" in der gpedit.msc sehe (wie z.B. in den Sicherheitsoptionen ja zu sehen ist, das Icon ändert sich).

 

Ich hätte aber zumindest erwartet, dass es im rsop.msc zu sehen ist. Aber auch dort sehe ich die Änderungen nicht.

Laut dem oben verlinkten Artikel verstehe ich das auch so, oder stehe ich komplett auf dem Schlauch?

 

Gruß

Link zu diesem Kommentar
vor einer Stunde schrieb phatair:

Ich hatte das nicht in einem offiziellen MS Dokument gelesen, diese Behauptung hatte jemand im MS Forum aufgestellt

https://learn.microsoft.com/en-us/answers/questions/123130/advance-audit-policy-no-longer-applying-after-runn

Das ist aber eine etwas andere Aussage ;-) 

  • Du schreibst: Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll,
  • Im Thread steht: Damit Adavnced Audit Policies in jeder GPO funktionieren, muss in der DDP die audit.csv physisch präsent sein (ggfls. mit minimalem Inhalt)
Link zu diesem Kommentar
vor 5 Stunden schrieb cj_berlin:

Das ist aber eine etwas andere Aussage ;-) 

  • Du schreibst: Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll,
  • Im Thread steht: Damit Adavnced Audit Policies in jeder GPO funktionieren, muss in der DDP die audit.csv physisch präsent sein (ggfls. mit minimalem Inhalt)

Hi Evgenij,

 

ich hatte mich auf die grün markierte Antwort in dem Thread bezogen 

Zitat

I got the answer to the problem. Advance Audit policies are only working from Default Domain Policy. If I do the settings on a separate GPO, it is not applying even if I enforce the GPO. Both GPOs are applied on the top domain level, the custom GPO works for other settings but fails for Advance auditing. When the settings are shifted to Default Domain Policy, auditing starts working.

This looks like bug which Microsoft may want to look at or is their any specific reason why this happens.

 

Du hast Recht, dass auch das im nächsten Beitrag erwähnt wird. Ich hatte bei uns geprüft ob die audit.csv in der DDP vorhanden ist. Das war sie nicht und ich habe habe sie erstellten lassen, in dem ich eben eine Änderung gemacht habe und diese dann wieder auf default zurückgesetzt habe. Nun gibt es die audit.csv.

Sorry - diese Info hatte ich komplett vergessen.

 

Es ist nun aktuell so

- In einer dedizierten GPO wird das advanced Audit Policies gesetzt.

- Auf dem entsprechenden Server sehe ich die GPO Einstellungen im gpedit.msc und im rsop.msc nicht

- Im gpresult -h "html file" und mit auditpol /get /category:* sehe ich die Einstellungen

 

Es wird ja auch das Security EventLog gefüllt, ich hätte einfach erwartet das ich diese Einstellung im gpedit.msc sehe, oder zumindest im rsop.msc.

Aber anscheinend macht MS da was es will. Einige GPO Einstellungen werden in der gpedit.msc angezeigt (z.B. in den Sicherheitsoptionen mit dem geänderten Icon) und andere nicht.

 

VG

Link zu diesem Kommentar
  • Beste Lösung

gpedit.msc zeigt Dir die Einstellungen der "lokalen Policy" an. Die wird dann ggf. von domain based Policies überschrieben.

Und rsop.msc ist deprecated, das kann zu viel nicht anzeigen.

image.png.40d367b846e389c72ddffb27bf0bdd2d.png

So gesehen: MS macht da, was es will, ja- ist ja auch "ihr" Betriebssystem. Aber das Ergebnis entspricht exakt dem erwarteten :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...