tombola22
Goto Top

GPO Audit Policy nur in Default Domain Policy konfigurierbar?

Hallo zusammen,

ich habe leider nichts Genaueres dazu im Internet gefunden... Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.

Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?

Kann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen, auch wenn das der Übersicht halber oft schöner wäre? Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).

Viele Grüße

Content-ID: 315828

Url: https://administrator.de/forum/gpo-audit-policy-nur-in-default-domain-policy-konfigurierbar-315828.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

129813
129813 21.09.2016 aktualisiert um 14:30:36 Uhr
Goto Top
Zitat von @tombola22:
Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
No
Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?
You must configure which setting wins if you configure it in multiple GPOs
Kann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen
No. Splitting is good but you should deactive computer or user section if only one of it is used.

Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).
No. The password policy GPO can only be configured once for the whole domain. If you want to use multiple Password policies, you must use a fine grained password policy (PSOs) instead!

Regards
Dirmhirn
Dirmhirn 21.09.2016 um 14:32:23 Uhr
Goto Top
Hi,

ich habe eigentlich immer gehört, dass man die die Default GPO gar nicht ändert. Bei Problemen schmeißt du zur Not alle anderen raus und bist wieder bei Null.

Wenige GPOs oder viele kleine GPOs ist Geschmackssache. Performance ist da auch kein Problem (mehr). Wir sind in der viel GPO Fraktion. So sieht man eher wo was konfiguriert wird. Außerdem kannst du recht granular einzelne GPOs testen/aktivieren/filtern, ...

Bei ein paar großen GPOs siehst du die Konfig erst in der Übersicht und du hast wenig Differenzierungsmöglichkeiten. Dafür spricht, dass du auf einen Blick (fast) alle Settings im GPO Report siehst.

sg Dirm
Dirmhirn
Dirmhirn 21.09.2016 um 14:33:19 Uhr
Goto Top
No. Splitting is good but you should deactive computer or user section if only one of it is used.
Was ist da der Vorteil?
sabines
sabines 21.09.2016 aktualisiert um 14:36:39 Uhr
Goto Top
Zitat von @Dirmhirn:

No. Splitting is good but you should deactive computer or user section if only one of it is used.
Was ist da der Vorteil?


Nach diesem Link hier: schneller und sicherer

https://technet.microsoft.com/en-us/magazine/dd673616.aspx
tombola22
tombola22 21.09.2016 um 14:37:15 Uhr
Goto Top
Thank you for your help so far!

So it should actually work, if I configure my audit policy in another group policy object?
Can you imagine, what could be the problem with my config?
I didn't configure any audit policies in multiple objects, there's only one. Why would I configure priorities, if none of the other objects contain any audit policies? Do i still have to prioritize?
sabines
sabines 21.09.2016 um 14:39:07 Uhr
Goto Top
Moin,

was hast Du denn ge-auditet?
tombola22
tombola22 21.09.2016 um 14:41:29 Uhr
Goto Top
Zitat von @sabines:

Moin,

was hast Du denn ge-auditet?


Zu Testzwecken zum Beispiel nur das Dateisystem. Wenn ich das in der Default Domain Policy anwende, funktioniert es. Im eigenen Gruppenrichtlinienobjekt nicht. Kann das tatsächlich an der Priorisierung liegen?
129813
129813 21.09.2016 aktualisiert um 14:44:57 Uhr
Goto Top
Zitat von @tombola22:
So it should actually work, if I configure my audit policy in another group policy object?
Yes
Can you imagine, what could be the problem with my config?
You linked the GPO to the wrong level of objects
I didn't configure any audit policies in multiple objects, there's only one. Why would I configure priorities, if none of the other objects contain any audit policies? Do i still have to prioritize?
No.

Use the wizards for the resultant set of policies. You can simulate everything before you apply it.

screenshot
sabines
sabines 21.09.2016 aktualisiert um 14:46:59 Uhr
Goto Top
Womit oder wohin ist das eigene GPO verlinkt, eventuell/wahrscheinlich muss das mit der Domain (domain controllers) verlinkt werden.
tombola22
tombola22 21.09.2016 aktualisiert um 15:03:40 Uhr
Goto Top
Zitat von @129813:
You applied the GPO to the wrong level of objects

Hm...So I have to apply it to the computer-section and can not apply it to the same level as the Default Policy? It shows up in the inheritance order though...

Gruppenrichtlinienmodellierung tells me, that my Audit Policy is rejected... Well, maybe I'll have to figure out why that is and then come back here face-smile
129813
Lösung 129813 21.09.2016 aktualisiert um 16:01:54 Uhr
Goto Top
So I have to apply it to the computer-section and can not apply it to the same level as the Default Policy?
It must reach the objects face-smile:
http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/
that my Audit Policy is rejected
Computerobjects must have the right to read the policy.
http://rickardnobel.se/ms16-072-breaks-group-policy/
http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
tombola22
tombola22 22.09.2016 um 10:26:48 Uhr
Goto Top
Problem solved! Secury filtering was activated for specific Computers (not by myself btw). Sorry for that... But thank you once again for your persistent help face-smile