2 votes

Cave Johnson avatar

2008 DC GPO - "Advanced Audit Policy Configuration" manquant ?

Demandé el 9 de Mai, 2013
Quand la question a-t-elle été
13265 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'activer l'audit de l'authentification Kerberos dans un GPO dans le but d'envoyer des événements d'authentification à une appliance de filtrage Web intégrée à AD, et les instructions me demandent d'activer l'audit des services d'authentification Kerberos en allant sur.. :

Computer Configuration
> Policies
  > Windows Settings
    > Security Settings
      > Advanced Audit Policy Configuration
        > System Audit Policies - Local Group Policy Object
          > Account Logon
            > Audit Kerberos Authentication Service

Mais lorsque je regarde mes objets GPO (par exemple, "Default Domain Controller Policy"), je ne vois même pas le nœud "Advanced Audit Policy Configuration" sous "Security Settings".

J'ai cherché par tous les moyens que je connais pour savoir si ce nœud avancé est quelque chose qui doit être activé d'une manière ou d'une autre ou s'il y a une autre raison pour laquelle il ne s'afficherait pas, mais je n'ai rien trouvé. Tout ce que j'ai trouvé ne fait qu'en parler comme s'il devait toujours être là...

Il s'agit d'un domaine/forêt de niveau fonctionnel Windows Server 2008, si cela a de l'importance.

Toute aide est la bienvenue.

EDIT 1 : Suite à la réponse ci-dessous de TheCleaner, j'ai réalisé que nos DCs sont tous des 2008 et non des R2 (les derniers 2008 de notre organisation), et que cette fonctionnalité est nouvelle pour 2008 R2.

J'ai essayé d'installer GPMC sur un serveur membre 2008 R2 et d'y définir la stratégie, mais il ne semble pas qu'elle soit appliquée aux DC 2008, même après un gpupdate /force (je vais essayer de redémarrer ce soir pour voir si cela aide).

Ce paramètre de politique d'audit ("Audit Kerberos Authentication Service" > "Success" enabled) est-il disponible ailleurs en 2008, ou s'agit-il d'un nouveau paramètre de politique ajouté en 2008 R2 ?

EDIT 2 : Cet article de TechNet semble indiquer que le paramètre de stratégie n'est disponible que sur Windows 6.1 (Win7/2008R2), mais que les événements d'audit devraient apparaître sur tout ce qui est 6.0 (Vista/2008) et plus...

Dois-je être plus patient en attendant que la GPO soit appliquée, ou attendre le redémarrage ?

EDIT 3 : Bon, 4 de mes 5 DCs (tous en 2008) respectent maintenant la politique d'audit "Audit Kerberos Authentication Service" et génèrent les événements du journal de sécurité dont j'ai besoin pour que cela fonctionne. J'ai reçu l'autorisation de redémarrer le seul DC qui n'affiche toujours pas les événements d'audit Kerberos, et il ne les affiche toujours pas.

Normalement, je ferais un RSoP ou un gpresult pour voir quels paramètres sont appliqués ou non à ce DC et pourquoi, mais dans ce cas, les deux omettent les paramètres "Advanced Audit Policy Configuration", même lorsqu'ils sont exécutés à distance sur le serveur R2 que j'ai utilisé pour les configurer...

Avez-vous des suggestions pour résoudre le problème des paramètres de GPO applicables à 2008 qui n'apparaissent pas dans la GPMC 2008 ?

Demandé el 9 de Mai, 2013 par Cave Johnson

Réponses

Trop de publicités?

3voto

Craig avatar
Craig Points 361

Sur un DC 2008 R2, dans la GPMC, il devrait être présent par défaut (assurez-vous que vous utilisez la GPMC dans un DC 2008 R2). Est-ce que vous regardez assez bas ? Il se trouve en bas de la liste.

GPMC

Vous pouvez essayer de cliquer avec le bouton droit de la souris sur "Paramètres de sécurité" et choisir de recharger si vous ne le voyez pas, mais il est par défaut dans 2008 R2.

enter image description here

Répondu el 9 de Mai, 2013 par Craig (361 Points )

0voto

Thecamelcoder avatar
Thecamelcoder Points 11

Sans rapport avec le sujet, mais probablement digne d'être mentionné :

Important
Que vous appliquiez la politique d'audit avancée en utilisant la stratégie de groupe ou en utilisant les scripts de connexion, n'utilisez pas à la fois les paramètres de la politique d'audit de base sous Politiques locales. \Audit et les paramètres avancés sous Paramètres de sécurité \Advanced Configuration de la politique d'audit.

L'utilisation de paramètres de politique d'audit à la fois avancés et de base peut entraîner des résultats inattendus.

Si vous utilisez les paramètres de configuration de la politique d'audit avancée ou si vous utilisez des scripts de connexion (pour les ordinateurs exécutant Windows Vista ou Windows Server 2008) pour appliquer la politique d'audit avancée, veillez à activer l'option Audit : Forcer les paramètres de sous-catégorie de la politique d'audit (Windows Vista ou version ultérieure) à remplacer les paramètres de catégorie de la politique d'audit paramètre de politique sous Politiques locales. \Security Options. Cela permettra d'éviter les conflits entre des paramètres similaires en forçant l'audit de sécurité de base à être ignoré.

FAQ sur l'audit de sécurité avancé
http://technet.microsoft.com/en-us/library/ff182311%28v=ws.10%29.aspx#BKMK_3

Répondu el 9 de Mai, 2013 par Thecamelcoder (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X