After enable advanced audit of GPO, all regular aduit GPO became invalid

1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異?

[安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊,但它們以不同方式記錄及套用。當您使用本機安全性原則,將基本稽核原則設定套用至本機電腦時,您是編輯有效稽核原則,因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。

這兩個位置中的安全性稽核原則設定之間還有一些差異。

[安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定,[進階稽核原則設定] 底下則有 53 個設定。[安全性設定\進階稽核原則設定] 中的設定與 [本機原則\稽核原則] 中的九個基本設定處理類似問題,但前者讓系統管理員對要稽核的事件數目和類型有更多的選擇。例如,基本稽核原則對帳戶登入提供單一設定,進階稽核原則提供四個設定。啟用單一基本帳戶登入設定相當於設定所有四個進階帳戶登入設定。相較之下,設定單一進階稽核原則設定並不會產生您不感興趣之活動的稽核事件。此外,如果您啟用基本 [稽核帳戶登入事件] 設定的成功稽核,只會記錄所有帳戶登入相關行為的成功事件。相較之下,您可以對一個進階帳戶登入設定來設定成功稽核,對第二個進階帳戶登入設定來設定失敗稽核,對第三個進階帳戶登入設定來設定成功和失敗稽核,或設定不稽核,視組織需求而定。

[安全性設定\本機原則\稽核原則] 底下的九個基本設定是在 Windows 2000 中引進,因此可用於所有之後發行的 Windows 版本。進階稽核原則設定是在 Windows Vista 和 Windows Server 2008 中引進。進階設定只能用於執行 Windows 7、Windows Vista、Windows Server 2008 R2 或 Windows Server 2008 的電腦上。

2. 基本稽核原則設定和進階稽核原則設定之間有何互動?

基本稽核原則與使用 Windows Server 2008 R2 和 Windows 7 群組原則所套用的進階稽核原則設定不相容。這是因為使用群組原則套用進階稽核原則設定後,目前電腦的稽核原則設定會立即清除,然後才能套用產生的進階稽核原則設定。在使用群組原則套用進階稽核原則設定之後,只能使用進階稽核原則設定,可靠地設定電腦的系統稽核原則。

編輯及套用本機安全性原則中的進階稽核原則設定,會修改本機群組原則物件 (GPO),因此如果有來自其他網域 GPO 或登入指令碼的原則時,此處所做的變更可能不會正確反映在 Auditpol.exe 中。這兩種原則類型都可以使用網域 GPO 進行編輯及套用,而且這些設定會覆寫任何衝突的本機稽核原則設定。不過,因為基本稽核原則是在有效稽核原則中記錄,需要變更時必須明確移除稽核原則,否則變更會保留在有效稽核原則中,而使用本機或網域群組原則設定所套用的原則變更則會在套用新原則時立即反映。

clip_image001重要

無論使用群組原則或登入指令碼來套用進階稽核原則,請勿同時使用 [本機原則\稽核原則] 底下的基本稽核原則設定以及 [安全性設定\進階稽核原則設定] 底下的進階設定。同時使用進階和基本稽核原則設定可能會產生非預期的結果。 如果您使用 [進階稽核原則設定] 設定或登入指令碼 (適用於執行 Windows Vista 或 Windows Server 2008 的電腦),來套用進階稽核原則,務必啟用 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 以覆寫稽核原則類別設定] 原則設定。這樣將可藉由強制略過基本安全性稽核,防止在類似設定之間發生衝突。

3. 如何將安全性稽核原則從進階稽核原則回復到基本稽核原則?

套用進階稽核原則設定會取代任何類似的基本安全性稽核原則設定。如果您之後將進階稽核原則設定變更為 [未設定],則您需要完成下列步驟,才能還原為原始的基本安全性稽核原則設定:

  1. 將所有進階稽核原則子類別設定為 [未設定]。
  2. 將網域控制站 %SYSVOL% 資料夾中的所有 audit.csv 檔案刪除。
  3. 重新設定並套用基本稽核原則設定。

除非完成這些所有步驟,否則無法還原基本稽核原則設定。

Reference:進階安全性稽核常見問題集

https://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx#BKMK_19