GPO - Erweiterte Überwachungskonfiguration auf DC wird nicht übernommen
Hallo Leute,
Folgender Sachverhalt (Server 2012 R2):
OU Domain Controller enthält einmal die Default Domain Controller Policy sowie eine Härtungsrichtlinie nach CIS-CAT. In dieser Härtungsrichtlinie sind u.a. auch die Sicherheitseinstellungen für die erweiterte Überwachungskonfiguration konfiguriert.
Ein GPRESULT auf einem der DC´s zeigt mir an dass alle Einstellungen erfolgreich übernommen worden. SECPOL allerdings sagt mir das die Einstellungen nicht vorhanden sind. Eine Prüfung mit Nessus bestätigt letztere Aussage.
Ich habe das Vorgehen auch schon bei den Kennwortrichtlinien beobachtet. D.h. Kennwortrichtlinien in der Härtungsrichtlinie werden nicht beachtet, sondern nur die der Default Domain Policy übernommen. Das hat sicher mit der "1-Kennwortpolicy-pro-Domäne-Richtlinie" von Microsoft zu tun. Gilt selbiges aber auch für die erweiterten Überwachungskonfigurationen?
Danke schonmal !
Beste Grüße
marcus
Folgender Sachverhalt (Server 2012 R2):
OU Domain Controller enthält einmal die Default Domain Controller Policy sowie eine Härtungsrichtlinie nach CIS-CAT. In dieser Härtungsrichtlinie sind u.a. auch die Sicherheitseinstellungen für die erweiterte Überwachungskonfiguration konfiguriert.
Ein GPRESULT auf einem der DC´s zeigt mir an dass alle Einstellungen erfolgreich übernommen worden. SECPOL allerdings sagt mir das die Einstellungen nicht vorhanden sind. Eine Prüfung mit Nessus bestätigt letztere Aussage.
Ich habe das Vorgehen auch schon bei den Kennwortrichtlinien beobachtet. D.h. Kennwortrichtlinien in der Härtungsrichtlinie werden nicht beachtet, sondern nur die der Default Domain Policy übernommen. Das hat sicher mit der "1-Kennwortpolicy-pro-Domäne-Richtlinie" von Microsoft zu tun. Gilt selbiges aber auch für die erweiterten Überwachungskonfigurationen?
Danke schonmal !
Beste Grüße
marcus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342014
Url: https://administrator.de/forum/gpo-erweiterte-ueberwachungskonfiguration-auf-dc-wird-nicht-uebernommen-342014.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
6 Kommentare
Neuester Kommentar
Secpol.msc ist ein Subset des lokalen Gruppenrichtlinieneditors gpedit.msc - nämlich das mit den sicherheitsrelevanten Policies.
Der lokale GP-Editor ist nicht dazu da, anzuzeigen, was für Policies gelten. Du suchst eine Funktion, die der schlicht nicht hat. Die gesuchte Funktion hat rsop.msc oder eben gpresult. Dass einige Bereiche freundlicherweise ausgegraut werden, wenn eine Domänen-GPO dies vorschreibt, heißt nicht, dass generell alle Bereiche die Domänen-GPOs anzeigen. Es ist ein lange bekanntes Missverständnis, dass dies so sein müsste. Die Entscheidung seitens Microsoft, dass da überhaupt etwas ausgegraut wird ist sonderbar und schon viele Admins haben sich darüber gewundert - denn bei den ganzen anderen GPOs (Tausende) ist es ja auch nicht so.
Mach einfach das Beste draus, siehe voriges Kommentar.
Der lokale GP-Editor ist nicht dazu da, anzuzeigen, was für Policies gelten. Du suchst eine Funktion, die der schlicht nicht hat. Die gesuchte Funktion hat rsop.msc oder eben gpresult. Dass einige Bereiche freundlicherweise ausgegraut werden, wenn eine Domänen-GPO dies vorschreibt, heißt nicht, dass generell alle Bereiche die Domänen-GPOs anzeigen. Es ist ein lange bekanntes Missverständnis, dass dies so sein müsste. Die Entscheidung seitens Microsoft, dass da überhaupt etwas ausgegraut wird ist sonderbar und schon viele Admins haben sich darüber gewundert - denn bei den ganzen anderen GPOs (Tausende) ist es ja auch nicht so.
Mach einfach das Beste draus, siehe voriges Kommentar.