Einstellungen der Advance Audit Policy GPO wird in der lokalen gpmc nicht angezeigt

[phatair 38]

Hallo zusammen,

 

ich habe folgendes Problem.

Ich habe eine neue GPO erstellt in der ich die Advance Audit Policy konfiguriert z.b. für File Zugriff aktiviert habe. Ebenso habe ich folgende Einstellung in den Sicherheitsoptionen aktiviert -> Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen

 

Wenn ich diese GPO nun auf den betroffenen Server aktiviere und mir dort per gpedit.msc die GPO Einstellungen anzeigen lasse, stehen weiterhin alle Advance Audit Policys auf nicht konfiguriert.

Prüfe ich die Einstellung per auditpol /get /category:*, sehe ich das sie aber korrekt eingestellt sind.

 

Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll, damit es eben in der lokalen gpmc sichtbar ist. Das kann ich mir aber nicht vorstellen und hatte das auch getestet, war trotzdem nicht sichtbar.

 

Kennt jemand das Problem und weiß wie ich es lösen kann?

[daabm 1.185]

Beides falsch... Und die Default Domain Policy fasst man am besten gar nicht an, die hat eine unheilige Beziehung zum Domain Head.

 

gpedit.msc zeigt Dir die "lokale Policy" an. Was da drinsteht (oder auch nicht), wird von Domain Policies überschrieben. Und das Gesamtergebnis findest Du dann in auditpol. Oder auch nicht https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/ba-p/399010

[cj_berlin 1.138]

vor 3 Stunden schrieb phatair:

 

Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll, 

Das wäre ja schlimm, denn das würde ja heißen, dass es nur eine Audit Policy pro Domain geben kann.

 

Vielleicht verwechselst Du das mit der Password & Lockout Policy - auf die trifft beides zu: Kann es nur einmal geben und muss in der DDP gesetzt werden.

[daabm 1.185]

vor 5 Minuten schrieb cj_berlin:

Kann es nur einmal geben und muss in der DDP gesetzt werden.

 

Nein. "Kann es nur einmal geben" stimmt, DDP ist falsch. Richtig wäre "kann in einer beliebigen Policy auf Domainebene gesetzt werden und landet dann auch in der DDP"

bearbeitet 23. Juni 2023 von daabm

[phatair 38]

Hallo zusammen,

 

danke euch.

Ich hatte das nicht in einem offiziellen MS Dokument gelesen, diese Behauptung hatte jemand im MS Forum aufgestellt

https://learn.microsoft.com/en-us/answers/questions/123130/advance-audit-policy-no-longer-applying-after-runn

 

Mir ist klar, dass ich mit gpedit.msc die lokalen Richtlinien sehe und diese von den Domain Policies überschrieben werden.

Ich dachte nur, dass ich die Advanced Audit Policy "Überschreibungen" in der gpedit.msc sehe (wie z.B. in den Sicherheitsoptionen ja zu sehen ist, das Icon ändert sich).

 

Ich hätte aber zumindest erwartet, dass es im rsop.msc zu sehen ist. Aber auch dort sehe ich die Änderungen nicht.

Laut dem oben verlinkten Artikel verstehe ich das auch so, oder stehe ich komplett auf dem Schlauch?

 

Gruß

[cj_berlin 1.138]

vor einer Stunde schrieb phatair:

Ich hatte das nicht in einem offiziellen MS Dokument gelesen, diese Behauptung hatte jemand im MS Forum aufgestellt

https://learn.microsoft.com/en-us/answers/questions/123130/advance-audit-policy-no-longer-applying-after-runn

Das ist aber eine etwas andere Aussage  

• Du schreibst: Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll,
• Im Thread steht: Damit Adavnced Audit Policies in jeder GPO funktionieren, muss in der DDP die audit.csv physisch präsent sein (ggfls. mit minimalem Inhalt)

[phatair 38]

vor 5 Stunden schrieb cj_berlin:

Das ist aber eine etwas andere Aussage  

• Du schreibst: Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll,
• Im Thread steht: Damit Adavnced Audit Policies in jeder GPO funktionieren, muss in der DDP die audit.csv physisch präsent sein (ggfls. mit minimalem Inhalt)

Hi Evgenij,

 

ich hatte mich auf die grün markierte Antwort in dem Thread bezogen 

Zitat

I got the answer to the problem. Advance Audit policies are only working from Default Domain Policy. If I do the settings on a separate GPO, it is not applying even if I enforce the GPO. Both GPOs are applied on the top domain level, the custom GPO works for other settings but fails for Advance auditing. When the settings are shifted to Default Domain Policy, auditing starts working.

This looks like bug which Microsoft may want to look at or is their any specific reason why this happens.

 

Du hast Recht, dass auch das im nächsten Beitrag erwähnt wird. Ich hatte bei uns geprüft ob die audit.csv in der DDP vorhanden ist. Das war sie nicht und ich habe habe sie erstellten lassen, in dem ich eben eine Änderung gemacht habe und diese dann wieder auf default zurückgesetzt habe. Nun gibt es die audit.csv.

Sorry - diese Info hatte ich komplett vergessen.

 

Es ist nun aktuell so

- In einer dedizierten GPO wird das advanced Audit Policies gesetzt.

- Auf dem entsprechenden Server sehe ich die GPO Einstellungen im gpedit.msc und im rsop.msc nicht

- Im gpresult -h "html file" und mit auditpol /get /category:* sehe ich die Einstellungen

 

Es wird ja auch das Security EventLog gefüllt, ich hätte einfach erwartet das ich diese Einstellung im gpedit.msc sehe, oder zumindest im rsop.msc.

Aber anscheinend macht MS da was es will. Einige GPO Einstellungen werden in der gpedit.msc angezeigt (z.B. in den Sicherheitsoptionen mit dem geänderten Icon) und andere nicht.

 

VG

[daabm 1.185]

gpedit.msc zeigt Dir die Einstellungen der "lokalen Policy" an. Die wird dann ggf. von domain based Policies überschrieben.

Und rsop.msc ist deprecated, das kann zu viel nicht anzeigen.

So gesehen: MS macht da, was es will, ja- ist ja auch "ihr" Betriebssystem. Aber das Ergebnis entspricht exakt dem erwarteten

[phatair 38]

Vielen Dank.

Die Info habe ich tatsächlich immer gründlich ignoriert 

 

Danke für eure Hilfe.