Политика расширенного аудита безопасности не применяется к Win7

Вопрос

Я пытаюсь применить объект групповой политики с расширенной политикой аудита безопасности к клиенту Windows 7, но этот параметр не применяется.

Я дважды проверил свою работу, используя эту статью - http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

Я включил Аудит: Принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита.

Когда я запускаю auditpol.exe /get /category:*, я вижу, что применяются только расширенные параметры аудита по умолчанию, а не те, которые я установил в новом объекте групповой политики. Я знаю, что сам объект групповой политики применяется к компьютеру, поскольку присутствуют другие параметры в объекте групповой политики, и RSOP показывает, что объект групповой политики успешно применен.

У нас есть объект GPO выше в структуре OU, который применяет некоторые расширенные параметры аудита, поэтому я подумал, что по какой-то причине он мешает или переопределяет, но они также не отображаются в auditpol.exe /get /category:*. Я выполнил audpol.exe /clear, который очищает политику

| |

После audpol.exe / очистить

|

Настройка категории / подкатегории

система

Расширение системы безопасности без аудита

Целостность системы без аудита

Драйвер IPsec без аудита

Другие системные события без аудита

Изменение состояния безопасности Нет аудита

Вход / выход

Вход Нет Аудит

Выйти Нет Аудит

Блокировка учетной записи Нет аудита

Основной режим IPsec без аудита

Быстрый режим IPsec без аудита

Расширенный режим IPsec без аудита

Специальный вход без аудита

Другие события входа / выхода без аудита

Сервер сетевой политики без аудита

Доступ к объекту

Файловая система без аудита

Реестр Нет Аудит

Объект ядра без аудита

СЭМ Нет Аудит

Услуги по сертификации без аудита

Приложение создано без аудита

Обработка манипуляций без аудита

Общий доступ к файлам без аудита

Пакет фильтрации пакета Drop Drop без аудита

Соединение платформы фильтрации без аудита

Другие события доступа к объекту без аудита

Подробный общий доступ к файлам без аудита

Использование привилегий

Чувствительная привилегия Использование Нет Аудит

Не чувствительное использование привилегий без аудита

Другие события использования привилегий Нет аудита

Детальное отслеживание

Завершение процесса без аудита

Деятельность DPAPI без аудита

События RPC без аудита

Создание процесса без аудита

Изменение политики

Изменение политики аудита Нет аудита

Изменение политики аутентификации без аудита

Изменение политики авторизации без аудита

MPSSVC Изменение политики на уровне правил без аудита

Изменение политики платформы фильтрации без аудита

Другие события изменения политики Нет аудита

Управление аккаунтом

Управление учетной записью пользователя Нет аудита

Управление учетными записями компьютеров без аудита

Управление группой безопасности Нет аудита

Управление группой рассылки без аудита

Управление группой приложений Нет аудита

Другие события управления учетными записями Нет аудита

Изменения службы каталога DS Access Нет аудита

Репликация службы каталогов без аудита

Подробная репликация службы каталогов без аудита

Доступ к службе каталогов без аудита

Вход в аккаунт

Операции с билетами службы Kerberos без аудита

Другие события входа в учетную запись Нет аудита

Служба аутентификации Kerberos без аудита

Проверка учетных данных без аудита

Затем я выполнил gpupdate /force и перезагрузился, но AuditPol по-прежнему показывает "Нет аудита" для всех настроек.

Я также удалил файл audit.csv, в котором, по-видимому, содержатся параметры объекта групповой политики, расположенные выше в структуре (хотя я и читал, что он содержит только локальные параметры), но не новый объект групповой политики в C:\Windows\security\audit и затем выполнил gpupdate /force. После запуска gpupdate /force файл был восстановлен, и в нем отображались параметры по умолчанию и расширенные параметры аудита из объекта групповой политики, расположенные выше в структуре OU, а не новые параметры объекта групповой политики, но Auditpol все еще не показывал аудит для всех параметров. Кроме того, дата изменения файла audit.csv была указана несколько месяцев назад, поэтому я подозреваю, что она просто извлекает информацию из исходного объекта групповой политики? Я пытался установить и повысить рейтинг нового объекта групповой политики, но он по-прежнему неприменим.

Среда

Windows 7 SP1 клиент и Windows 2008R2 DC

Любая помощь приветствуется.