Ustawienia inspekcji zabezpieczeń nie są stosowane do komputerów opartych na systemie Windows Vista i Windows Server 2008 podczas wdrażania zasad opartych na domenie

  • Artykuł

Ten artykuł zawiera pomoc w rozwiązaniu problemu polegającego na tym, że ustawienia inspekcji zabezpieczeń nie są stosowane do komputerów klienckich w domenie usługi Active Directory podczas wdrażania zasad opartych na domenie.

Dotyczy: Windows 10 — wszystkie wersje, Windows Server 2012 R2
Oryginalny numer KB: 921468

Symptomy

Rozpatrzmy następujący scenariusz: Zasady oparte na domenie są wdrażane w celu skonfigurowania ustawień inspekcji zabezpieczeń na komputerach z systemem Windows Vista lub Windows Server 2008 w domenie usługi katalogowej Active Directory. Narzędzie Wynikowy zestaw zasad (RSoP) jest uruchamiane na jednym z komputerów z systemem Windows Vista lub Windows Server 2008. W takim przypadku narzędzie RSoP wskazuje, że zasady są stosowane. Jednak zasady nie są faktycznie stosowane do co najmniej jednego komputera z systemem Windows Vista lub Windows Server 2008.

Przyczyna

Ten problem występuje, jeśli ustawienie zasad inspekcji "Wymuszaj ustawienia podkategorii zasad inspekcji (Windows Vista lub nowsze) w celu zastąpienia ustawień kategorii zasad inspekcji" jest włączone w systemie Windows Vista lub Windows Server 2008. Ustawienie zasad można włączyć przy użyciu zasady grupy lub można je włączyć ręcznie, modyfikując rejestr.

Aby rozwiązać ten problem, użyj jednej z następujących metod, stosownie do twojej sytuacji.

Rozwiązanie 1. Wyłączanie ustawienia zasad przy użyciu Redaktor obiektu zasady grupy

Sprawdź, czy ustawienie zasad zostało włączone przy użyciu zasady grupy, a następnie wyłącz ustawienie zasad przy użyciu Redaktor obiektu zasady grupy. Aby to zrobić, wykonaj następujące kroki.

  1. Sprawdź, czy ustawienie zasad "Wymuszaj ustawienia podkategorii zasad inspekcji (Windows Vista lub nowsze) w celu zastąpienia ustawień kategorii zasad inspekcji" zostało włączone przy użyciu zasady grupy. Aby to zrobić, wykonaj następujące kroki.

    1. Na komputerze kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij przycisk Akcesoria, kliknij przycisk Uruchom, wpisz rsop.msc w polu Otwórz , a następnie kliknij przycisk OK.
    2. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
    3. Kliknij dwukrotnie pozycję Inspekcja: Wymuś ustawienia podkategorii zasad inspekcji (Windows Vista lub nowsze), aby zastąpić ustawienia kategorii zasad inspekcji.
    4. Sprawdź, czy ustawienie zasad ma wartość Włączone, a następnie zanotuj obiekt zasady grupy (GPO).

  2. Wyłącz ustawienie zasad inspekcji "Wymuszaj ustawienia podkategorii zasad inspekcji (Windows Vista lub nowsze), aby zastąpić ustawienia kategorii zasad inspekcji" w obiekcie zasad grupy. Aby to zrobić, wykonaj następujące kroki.

    1. W zasady grupy obiektu Redaktor otwórz obiekt zasad grupy.
    2. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
    3. Kliknij dwukrotnie pozycję Inspekcja: Wymuś ustawienia podkategorii zasad inspekcji (Windows Vista lub nowsze), aby zastąpić ustawienia kategorii zasad inspekcji.
    4. Kliknij pozycję Wyłączone, a następnie kliknij przycisk OK.

  3. Uruchom ponownie komputer lub komputery.

Rozwiązanie 2. Wyłączanie ustawienia zasad przy użyciu Redaktor rejestru

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Aby ręcznie wyłączyć ustawienie zasad przy użyciu Redaktor rejestru, wykonaj następujące kroki:

  1. Zaloguj się do systemu Windows Vista lub Windows Server 2008 jako użytkownik, który jest członkiem grupy Administratorzy.
  2. Kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Akcesoria, kliknij przycisk Uruchom, wpisz regedit w polu Otwórz , a następnie kliknij przycisk OK. Jeśli na ekranie zostanie wyświetlone okno dialogowe Kontrola konta użytkownika i zostanie wyświetlony monit o podniesienie poziomu tokenu administratora, kliknij przycisk Kontynuuj.
  3. Odszukaj, a następnie kliknij następujący podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  4. Kliknij prawym przyciskiem myszy pozycję SCENoApplyLegacyAuditPolicy, a następnie kliknij przycisk Modyfikuj.
  5. Wpisz 0 w polu Dane wartości , a następnie kliknij przycisk OK.
  6. Zamknij Edytor rejestru.
  7. Uruchom ponownie komputer.

Uwaga

Jeśli zasady są zasadami opartymi na domenie i nie są zasadami lokalnymi, może być konieczne oczekiwanie na ukończenie replikacji usługi Active Directory i replikacji SYSVOL, zanim ustawienia zasad zostaną zastosowane na komputerach.

Więcej informacji

System Windows Vista i nowsze wersje systemu Windows umożliwiają bardziej precyzyjne zarządzanie zasadami inspekcji przy użyciu podkategorii zasad inspekcji. Jeśli skonfigurujesz zasady inspekcji na poziomie kategorii, zastąpisz podkategorie zasad inspekcji.

Jeśli chcesz zarządzać zasadami inspekcji przy użyciu podkategorii zasad inspekcji i nie chcesz używać zasady grupy, możesz skonfigurować wpis rejestru SCENoApplyLegacyAuditPolicy. Podczas konfigurowania wpisu rejestru SCENoApplyLegacyAuditPolicy uniemożliwia się stosowanie zasad inspekcji na poziomie kategorii, które zostały skonfigurowane przy użyciu zasady grupy lub narzędzia zasady zabezpieczeń lokalnych.

Należy jednak pamiętać, że ustawienie zasad może nie być wymuszane, jeśli inne zasady są skonfigurowane do zastępowania zasad inspekcji na poziomie kategorii.