ドメイン ベースのポリシーを展開するWindows Vista ベースおよび Window Server 2008 ベースのコンピューターにセキュリティ監査設定が適用されない

この記事では、ドメイン ベースのポリシーを展開するときに、Active Directory ドメイン内のクライアント コンピューターにセキュリティ監査設定が適用されない問題を解決するためのヘルプを提供します。

適用対象:  Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号:   921468

現象

次のような状況を想定します。 ドメイン ベースのポリシーを展開して、Active Directory ディレクトリ サービス ドメイン内の Windows Vista ベースまたは Windows Server 2008 ベースのコンピューターでセキュリティ監査設定を構成します。 ポリシーの結果セット (RSoP) ツールは、Windows Vista ベースまたは Windows Server 2008 ベースのコンピューターの 1 つで実行します。 これを行う場合、RSoP ツールはポリシーが適用中ことを示します。 ただし、このポリシーは、Vista ベースまたはサーバー 2008 ベースWindows 1 つ以上のコンピューター Windows適用されません。

原因

この問題は、Windows Vista または Windows Server 2008 で[監査ポリシー カテゴリ設定を上書きする監査ポリシーサブカテゴリ設定 (Windows Vista 以降) を強制する] ポリシー設定が有効になっている場合に発生します。 ポリシー設定は、グループ ポリシーを使用して有効にするか、レジストリを変更して手動で有効にできます。

この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。

解決策 1: グループ ポリシー オブジェクト エディターを使用してポリシー設定を無効にする

グループ ポリシーを使用してポリシー設定が有効になっているか確認し、グループ ポリシー オブジェクト エディターを使用してポリシー設定を無効にします。 これを行うには、次の手順を実行します。

  1. グループ ポリシーを使用して、"監査ポリシー のサブカテゴリ設定 (Windows Vista 以降) で監査ポリシー カテゴリ設定を上書きする" ポリシー設定が有効になっているか確認します。 これを行うには、次の手順を実行します。

    1. コンピューターで、[スタート] ボタンを クリック し、[すべてのプログラム] をポイントし、[アクセサリ] をクリックし、[実行] をクリックし、[開く] ボックスに 「rsop.msc」入力、[OK] をクリックします
    2. [コンピューターの構成] を展開し、[Windows 設定] 展開し、[セキュリティ 設定] を展開し 、[ ローカル ポリシー] を展開し、[セキュリティ オプション]をクリックします
    3. [監査: 監査ポリシー] サブカテゴリ設定 (Windows Vista 以降) をダブルクリックして、監査ポリシー カテゴリの設定 を上書きします
    4. ポリシー設定が [有効]に設定され、グループ ポリシー オブジェクト (GPO) に注意してください。
  2. GPO の "監査ポリシー のサブカテゴリ設定 (Windows Vista 以降) を無効にして、監査ポリシー カテゴリの設定を上書きする" ポリシー設定を無効にします。 これを行うには、次の手順を実行します。

    1. グループ ポリシー オブジェクト エディターで、GPO を開きます。
    2. [コンピューターの構成] を展開し、[Windows 設定] 展開し、[セキュリティ 設定] を展開し 、[ ローカル ポリシー] を展開し、[セキュリティ オプション]をクリックします
    3. [監査: 監査ポリシー] サブカテゴリ設定 (Windows Vista 以降) をダブルクリックして、監査ポリシー カテゴリの設定 を上書きします
    4. [無効 ] を クリックし 、[OK] をクリックします
  3. コンピューターまたはコンピューターを再起動します。

解決策 2: レジストリ エディターを使用してポリシー設定を無効にする

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

レジストリ エディターを使用してポリシー設定を手動で無効にするには、次の手順を実行します。

  1. Administrators グループのWindowsであるWindowsとして、Vista または Windows Server 2008 にログオンします。
  2. [スタート] ボタン、[すべてのプログラム]を ポイント し、[アクセサリ] をクリックし、[実行] をクリックし、[開く] ボックスに 「regedit」 と入力し 、[OK] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが画面に表示され、管理者トークンの昇格を求めるメッセージが表示される場合は、[続行] を クリックします
  3. レジストリ サブキーを見つけてクリックします HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  4. SCENoApplyLegacyAuditPolicy を右クリックし、[変更] を クリックします
  5. [ 値のデータ] ボックスに 「0」と入力、[OK] をクリックします
  6. レジストリ エディターを終了します。
  7. コンピューターを再起動します。

注意

ポリシーがドメイン ベースのポリシーで、ローカル ベースのポリシーではない場合は、Active Directory レプリケーションと SYSVOL レプリケーションが完了するまで待機してから、ポリシー設定がコンピューターに適用される場合があります。

詳細情報

WindowsVista およびそれ以降のバージョンWindows、監査ポリシー サブカテゴリを使用して、より正確な方法で監査ポリシーを管理できます。 カテゴリ レベルで監査ポリシーを構成する場合は、監査ポリシーのサブカテゴリを上書きします。

監査ポリシー サブカテゴリを使用して監査ポリシーを管理する場合に、グループ ポリシーを使用しない場合は、SCENoApplyLegacyAuditPolicy レジストリ エントリを構成できます。 SCENoApplyLegacyAuditPolicy レジストリ エントリを構成すると、グループ ポリシーまたはローカル セキュリティ ポリシー ツールを使用して構成されたカテゴリ レベルの監査ポリシーが適用されません。

ただし、カテゴリ レベルの監査ポリシーを上書きするように別のポリシーが構成されている場合、ポリシー設定が適用されない場合があります。