[2003]Audit policy niet te wijzigen - Serversoftware en clouddiensten

donderdag 11 mei 2006 15:35

Acties:

Topicstarter

Ik heb een 2003 server (SP1) waarop ik problemen heb een audit-policy actief te krijgen. Als ik middels secpol entries wijzig van 'No' naar (bijvoorbeeld) 'Success and failure' wordt dat geaccepteerd, maar na het sluiten van de policy-editor controleer ik dat nog even en blijkt dat alles weer op 'No' logging staat. In de eventviewer zie ik dat mijn wijziging (onder mijn administrator-account) wel doorgevoerd wordt, maar meteen daarna door het system-account weer ongedaan gemaakt wordt..?

Programmers don't die. They GOSUB without RETURN

donderdag 11 mei 2006 15:56

Acties:

mutsje

Certified Prutser

doe je dit via de Group Policy Management Console of via gpedit.msc? In principe blijft een audit policy gewoon aanstaan. Wat voor events krijg je mbt tot dit probleem?

donderdag 11 mei 2006 16:18

Acties:

BoGhi

Topicstarter

Beide geprobeerd, hetzelfde (dus netto 0) effect.
De eventlog meldingen zijn 'succes' meldingen, eentje van het account waarmee ik de wijziging doorvoer (en die dus goed lijkt te gaan), en eentje van het system account die alles weer terugzet, ook succesvol. Verder geen errors of warnings in de eventviewer-log.

edit:
De inhoud van de eventviewer: (onderaan de eerste actie, de bovenste is de actie daarop volgend door SYSTEM zelf. De systeemnaam heb ik gewijzigd naar ´SYSTEEM´)

Audit Policy Change:
New Policy:
Success Failure
- - Logon/Logoff
- - Object Access
- - Privilege Use
- - Account Management
- - Policy Change
- - System
- - Detailed Tracking
- - Directory Service Access
- - Account Logon

Changed By:
User Name: SYSTEEM$
Domain Name: WORKGROUP
Logon ID: (0x0,0x3E7)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Audit Policy Change:
New Policy:
Success Failure
- - Logon/Logoff
- - Object Access
- - Privilege Use
- - Account Management
- - Policy Change
- - System
- - Detailed Tracking
- - Directory Service Access
+ + Account Logon

Changed By:
User Name: Administrator
Domain Name: SYSTEEM
Logon ID: (0x0,0x2E575)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

[ Voor 68% gewijzigd door BoGhi op 16-05-2006 15:17 ]

Programmers don't die. They GOSUB without RETURN

dinsdag 16 mei 2006 15:18

Acties:

BoGhi

Topicstarter

hm, aangezien een edit niet zorgt voor nieuwe aandacht (en het nog niet opgelost is) een kleine kick.

Programmers don't die. They GOSUB without RETURN

dinsdag 16 mei 2006 16:43

Acties:

Verwijderd

2 domains?

donderdag 20 juli 2006 16:00

Acties:

BoGhi

Topicstarter

Sorry voor het oude topic, maar het was de bedoeling de server gewoon opnieuw in te richten en daarmee het probleem te vergeten. Echter, het blijkt (inmiddels) aanwezig op meerdere servers, dus weer actueel..

Aanvullende info: de servers hangen in een DMZ, en niet in een domain dus. Wat ik inderdaad wel vreemd vind zelf is dat de Administrator blijkbaar in domein (werkgroep eigenlijk) <SYSTEEM> zit ('SYSTEEM' heb ik hier zelf vervangen, en is in het echt de naam van het systeem zoals eerder gezegd), en de SYSTEEM$-user in Workgroup. Zou het kunnen zijn dat een (local)policy in de 'Workgroup' de policy in <SYSTEEM> teniet doet?

[Edit]: O ja, het doet zich ook voor op 2000-servers (dus niet alleen op 2003)

[ Voor 10% gewijzigd door BoGhi op 20-07-2006 16:01 ]

Programmers don't die. They GOSUB without RETURN