Les paramètres d’audit de sécurité ne sont pas appliqués aux ordinateurs basés sur Windows Vista et Windows Server 2008 lorsque vous déployez une stratégie basée sur un domaine

Cet article fournit de l’aide pour résoudre un problème dans lequel les paramètres d’audit de sécurité ne sont pas appliqués aux ordinateurs clients dans un domaine Active Directory lorsque vous déployez une stratégie basée sur un domaine.

Version du produit d’origine :   Windows 10 - toutes éditions, Windows Server 2012 R2
Numéro de la ko d’origine :   921468

Symptômes

Envisagez le scénario ci-dessous. Vous déployez une stratégie basée sur un domaine pour configurer les paramètres d’audit de sécurité sur les ordinateurs Windows Vista ou Windows Server 2008 dans un domaine de service d’annuaire Active Directory. Vous exécutez l’outil RSoP (Resultant Set of Policy) sur l’un des ordinateurs Windows Vista ou Windows Server 2008. Lorsque vous le faites, l’outil RSoP indique que la stratégie est appliquée. Toutefois, la stratégie n’est pas réellement appliquée à un ou plusieurs ordinateurs Windows Vista ou Windows Server 2008.

Cause

Ce problème se produit si le paramètre de stratégie d’audit « Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou ultérieur) pour remplacer les paramètres de catégorie de stratégie d’audit » est activé dans Windows Vista ou dans Windows Server 2008. Le paramètre de stratégie peut être activé à l’aide de la stratégie de groupe ou il peut être activé manuellement en modifiant le Registre.

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, selon votre situation.

Résolution 1 : désactiver le paramètre de stratégie à l’aide de l’Éditeur d’objets de stratégie de groupe

Vérifiez que le paramètre de stratégie a été activé à l’aide de la stratégie de groupe, puis désactivez-le à l’aide de l’Éditeur d’objets de stratégie de groupe. Pour cela, procédez comme suit :

  1. Vérifiez que le paramètre de stratégie « Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou ultérieur) pour remplacer les paramètres de catégorie de stratégie d’audit » a été activé à l’aide de la stratégie de groupe. Pour cela, procédez comme suit :

    1. Sur l’ordinateur, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez sur Exécuter, tapez rsop.msc dans la zone Ouvrir, puis cliquez sur OK.
    2. Développez Configuration ordinateur, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Options de sécurité.
    3. Double-cliquez sur Audit : forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou ultérieur) à remplacer les paramètres de catégorie de stratégie d’audit.
    4. Vérifiez que le paramètre de stratégie est activé, puis notez l’objet de stratégie de groupe (GPO).
  2. Désactivez le paramètre de stratégie « Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou ultérieur) pour remplacer les paramètres de catégorie de stratégie d’audit » dans l’objet de stratégie de groupe. Pour cela, procédez comme suit :

    1. Dans l’Éditeur d’objets de stratégie de groupe, ouvrez l’objet de stratégie de groupe.
    2. Développez Configuration ordinateur, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Options de sécurité.
    3. Double-cliquez sur Audit : forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou ultérieur) à remplacer les paramètres de catégorie de stratégie d’audit.
    4. Cliquez sur Désactivé, puis sur OK.
  3. Redémarrez l’ordinateur ou les ordinateurs.

Résolution 2 : désactiver le paramètre de stratégie à l’aide de l’Éditeur du Registre

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la façon de back up et restore the registry, voir How to back up and restore the registry in Windows.

Pour désactiver manuellement le paramètre de stratégie à l’aide de l’Éditeur du Registre, suivez les étapes suivantes :

  1. Connectez-vous à Windows Vista ou Windows Server 2008 en tant qu’utilisateur membre du groupe Administrateurs.
  2. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche à l’écran et vous invite à élever votre jeton d’administrateur, cliquez sur Continuer.
  3. Recherchez, puis cliquez sur la sous-clé de Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA .
  4. Cliquez avec le bouton droit sur SCENoApplyLegacyAuditPolicy, puis cliquez sur Modifier.
  5. Tapez 0 dans la zone Données de la valeur, puis cliquez sur OK.
  6. Fermez l’Éditeur du Registre.
  7. Redémarrez l’ordinateur.

Notes

Si la stratégie est basée sur un domaine et qu’il ne s’agit pas d’une stratégie locale, vous de devez attendre la fin de la réplication Active Directory et de la réplication SYSVOL pour que les paramètres de stratégie prennent effet sur les ordinateurs.

Plus d’informations

Windows Vista et les versions ultérieures de Windows vous permettent de gérer les stratégies d’audit de manière plus précise à l’aide de sous-catégories de stratégie d’audit. Si vous configurez des stratégies d’audit au niveau de la catégorie, vous remplacez les sous-catégories de stratégie d’audit.

Si vous souhaitez gérer des stratégies d’audit à l’aide de sous-catégories de stratégie d’audit et que vous ne souhaitez pas utiliser de stratégie de groupe, vous pouvez configurer l’entrée de Registre SCENoApplyLegacyAuditPolicy. Lorsque vous configurez l’entrée de Registre SCENoApplyLegacyAuditPolicy, vous empêchez l’application de stratégies d’audit de niveau catégorie configurées à l’aide de la stratégie de groupe ou de l’outil Stratégie de sécurité locale.

Toutefois, sachez que le paramètre de stratégie peut ne pas être appliqué si une autre stratégie est configurée pour remplacer la stratégie d’audit au niveau de la catégorie.