none
组策略中的安全设置无法显示配置 RRS feed

  • 问题

  •  windows server2008R2本地组。组策略已生效,但RSOP以及gpresult中显示未配置或没有显示。之前为了安全考虑,在组策略进行了一系列的设置(密码复杂性,审核策略,事件日志大小),可后来做安全审计时才发现用RSOP和gpresult来看是未配置,但实际上策略已经生效了。下面是台离线机的数据。

    Computer Configuration
    Policies
    Windows Settings
    Security Settings
    Software Restriction Policies
    Winning GPO Local Group Policy
    Enforcement
    Policy Setting
    Apply software restriction policies to the following All software files
    Apply software restriction policies to the following users All users except local administrators
    When applying software restriction policies Ignore certificate rules

    gpresult /h 命令生成的报告中,计算机配置中的安全配置设置没有显示。

    后面用MMC打开本地策略数据库,发现:

    Policy Database Setting Computer Setting
    Maximum application log size Not Defined 51200 kilobytes
    Maximum security log size Not Defined 512000 kilobytes
    Maximum system log size Not Defined 51200 kilobytes
    Prevent local guests group from accessing   application log Not Defined Enabled
    Prevent local guests group from accessing   security log Not Defined Enabled
    Prevent local guests group from accessing   system log Not Defined Enabled
    Retention method for application log Not Defined As needed
    Retention method for security log Not Defined As needed
    Retention method for system log Not Defined As needed

    Policy Database Setting Computer   Setting
    Audit account logon events Not Defined Success  Failure
    Audit account management Not Defined Success  Failure
    Audit directory service access Not Defined Success  Failure
    Audit logon events Not Defined Success  Failure
    Audit object access Not Defined No auditing
    Audit policy change Not Defined No auditing
    Audit privilege use Not Defined No auditing
    Audit process tracking Not Defined Failure
    Audit system events Not Defined Success  Failure

    还用secedit /export导出安全策略倒是正常:

    [Unicode]
    Unicode=yes
    [System Access]
    MinimumPasswordAge = 1
    MaximumPasswordAge = 365
    MinimumPasswordLength = 8
    PasswordComplexity = 1
    PasswordHistorySize = 3
    LockoutBadCount = 5
    ResetLockoutCount = 10
    LockoutDuration = 10
    RequireLogonToChangePassword = 0
    ForceLogoffWhenHourExpire = 0
    NewAdministratorName = "Administrator"
    NewGuestName = "Guest"
    ClearTextPassword = 0
    LSAAnonymousNameLookup = 0
    EnableAdminAccount = 1
    EnableGuestAccount = 0
    [Event Audit]
    AuditSystemEvents = 3
    AuditLogonEvents = 3
    AuditObjectAccess = 0
    AuditPrivilegeUse = 0
    AuditPolicyChange = 0
    AuditAccountManage = 3
    AuditProcessTracking = 2
    AuditDSAccess = 3
    AuditAccountLogon = 3

    不过使用secedit /analyze,则所有都显示未配置,下面是摘取的一部分:

    ----Reading Configuration Info...


    ----Analyze Security Policy...
    Not Configured - MinimumPasswordLength.
    Not Configured - PasswordHistorySize.
    Not Configured - MaximumPasswordAge.
    Not Configured - MinimumPasswordAge.
    Not Configured - PasswordComplexity.
    Not Configured - RequireLogonToChangePassword.
    Not Configured - ClearTextPassword.
     Analyze password information.
    Not Configured - LockoutBadCount.
    Not Configured - ResetLockoutCount.
    Not Configured - LockoutDuration.
     Analyze account lockout information.
    Not Configured - ForceLogOffWhenHourExpire.
     Analyze account force logoff information.
    Not Configured - NewAdministratorName.
    Not Configured - NewGuestName.
    Not Configured - LSAAnonymousNameLookup.
     Analyze LSA anonymous lookup setting.
    Not Configured - EnableAdminAccount.
    Not Configured - EnableGuestAccount.
     Analyze other policy settings.

     System Access analysis completed successfully.
    Not Configured - MaximumLogSize.
    Not Configured - AuditLogRetentionPeriod.
    Not Configured - RestrictGuestAccess.
    Not Configured - MaximumLogSize.
    Not Configured - AuditLogRetentionPeriod.
    Not Configured - RestrictGuestAccess.
    Not Configured - MaximumLogSize.
    Not Configured - AuditLogRetentionPeriod.
    Not Configured - RestrictGuestAccess.
     Analyze log settings.
    Not Configured - AuditSystemEvents.
    Not Configured - AuditLogonEvents.
    Not Configured - AuditObjectAccess.
    Not Configured - AuditPrivilegeUse.
    Not Configured - AuditProcessTracking.
    Not Configured - AuditPolicyChange.
    Not Configured - AuditAccountManage.
    Not Configured - AuditDSAccess.
    Not Configured - AuditAccountLogon.
     Analyze event audit settings.

     Audit/Log analysis completed successfully.
     Analyze MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity.
    Not Available  - MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity.
     Analyze MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel.
    Not Configured - MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel.
     Analyze MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel.
    Not Configured - MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel.
     Analyze MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RestrictNTLMInDomain.
    Not Available  - MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RestrictNTLMInDomain.
     Analyze MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey.
    Not Configured - MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey.
     Analyze MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal.


    2017年10月9日 14:39

答案

  • 您好,

    根据我的研究和测试,我想基于下图详细解释一下计算机中的安全策略:

    在MMC的Security Configuration and Analysis中,存在两列配置:Database Setting和Computer Setting。其中Database Setting相对应的是组策略设置;当计算机在域环境中并在组策略中配置了安全策略后,安全设置就会保存在Database Setting,即C:\Windows\Security\Database\secedit.sdb中,由于组策略的优先级高于本地策略,此时实际应用的是Database Setting。另外,Computer Setting对应的即是本地安全策略;当计算机在工作组环境中时,应用的就是本地策略。所以,基于您的情况,工作组环境中的计算机在Security Configuration and Analysis中分析不出配置是正常的行为。我建议您使用gpedit.msc打开本地策略设置,查看相应配置是否正常。

    希望对您有所帮助。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 欧阳0918 2017年10月22日 7:50
    2017年10月19日 11:36

全部回复

  • 您好,

    请问其他的域计算机是否也存在这个问题?

    另外,请问是使用什么用户运行的RSOP和gpresult?根据我的测试,可能需要打开具有管理员权限的cmd才能在gpresult /h的报告中看到安全设置的相关信息。
    同时,我建议您可以尝试将离线机重新连接到域控制器,运行gpupdate /force并重启之后再次尝试看看问题是否解决。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年10月10日 2:58
  • 工作组的电脑不管是windows server2008R2还是windows7普遍出现这个问题。域控下的有一台使用gpresult /h生成的报告中计算机配置一栏no data available。

    我用的是管理员账号测试的,是用具有管理员权限的cmd运行gpresult /h的。但就是看不了安全设置的相关信息。

    出问题的都是工作组,都是一台台在组策略手动设置的。


    2017年10月10日 14:45
  • 您好,

    >> 出问题的都是工作组,都是一台台在组策略手动设置的。
    请问这里的“组策略”是否是指“本地组策略编辑器”?在“本地组策略编辑器”中能否看到这些设置?(您可以通过运行gpedit.msc进行查看)

    另外,根据我的研究和测试,同样的现象重现了。我想解释的是gpresult和rsop是用于收集域中组策略结果的工具,并不适用于本地策略,所以看不到配置是正常现象。如果想要通过命令查看本地策略,建议使用secedit命令行工具。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年10月13日 7:07
  • 谢谢,感觉应该是这个原因。不过还想问下,使用secedit /analyze 为什么显示为未配置。
    2017年10月16日 3:29
  • 您好,

    感谢您分享当前的进展。

    请问当使用secedit /analyze时,完整的命令是什么?
    另外,我建议您可以通过下面的链接再执行一次分析看看配置是否显示,供您参考:
    HOW TO: Use the Secedit.sdb Database to Perform a Security Analysis in Windows Server 2003(仅英文版)
    https://support.microsoft.com/en-sg/help/816119/how-to-use-the-secedit-sdb-database-to-perform-a-security-analysis-in

    希望对您有所帮助。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年10月17日 8:31
  • 用MMC来分析还是显示未配置。下面是部分日志。

    -------------------------------------------
    2017年10月17日 22:46:59
    ----分析引擎初始化成功。----

    ----正在读取配置信息...


    ----分析用户权限...
     分析 SeNetworkLogonRight。
    没有配置       - SeNetworkLogonRight。
     分析 SeTcbPrivilege。
    没有配置       - SeTcbPrivilege。
     分析 SeMachineAccountPrivilege。
    没有配置       - SeMachineAccountPrivilege。
     分析 SeBackupPrivilege。
    没有配置       - SeBackupPrivilege。
     分析 SeChangeNotifyPrivilege。
    没有配置       - SeChangeNotifyPrivilege。
     分析 SeSystemtimePrivilege。
    没有配置       - SeSystemtimePrivilege。
     分析 SeCreatePagefilePrivilege。
    没有配置       - SeCreatePagefilePrivilege。
     分析 SeCreateTokenPrivilege。
    没有配置       - SeCreateTokenPrivilege。
     分析 SeCreatePermanentPrivilege。
    没有配置       - SeCreatePermanentPrivilege。

    ----分析可用附件引擎...

     附件引擎分析成功结束。

    ----正在读取配置信息...


    ----分析安全策略...
    没有配置       - MinimumPasswordLength。
    没有配置       - PasswordHistorySize。
    没有配置       - MaximumPasswordAge。
    没有配置       - MinimumPasswordAge。
    没有配置       - PasswordComplexity。
    没有配置       - RequireLogonToChangePassword。
    没有配置       - ClearTextPassword。
     分析密码信息。
    没有配置       - LockoutBadCount。
     分析帐户锁定信息。
    没有配置       - ForceLogOffWhenHourExpire。
     分析帐户强制注销信息。
    没有配置       - NewAdministratorName。
    没有配置       - NewGuestName。
    没有配置       - LSAAnonymousNameLookup。
     分析 LSA 匿名查找设置。
    没有配置       - EnableAdminAccount。
    没有配置       - EnableGuestAccount。
     分析其它策略设置。
    没有配置       - ResetLockoutCount。
    没有配置       - LockoutDuration。

    2017年10月17日 15:01
  • 您好,

    根据我的研究和测试,我想基于下图详细解释一下计算机中的安全策略:

    在MMC的Security Configuration and Analysis中,存在两列配置:Database Setting和Computer Setting。其中Database Setting相对应的是组策略设置;当计算机在域环境中并在组策略中配置了安全策略后,安全设置就会保存在Database Setting,即C:\Windows\Security\Database\secedit.sdb中,由于组策略的优先级高于本地策略,此时实际应用的是Database Setting。另外,Computer Setting对应的即是本地安全策略;当计算机在工作组环境中时,应用的就是本地策略。所以,基于您的情况,工作组环境中的计算机在Security Configuration and Analysis中分析不出配置是正常的行为。我建议您使用gpedit.msc打开本地策略设置,查看相应配置是否正常。

    希望对您有所帮助。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 欧阳0918 2017年10月22日 7:50
    2017年10月19日 11:36
  • 谢谢。辛苦你这么久时间一直持续不断的跟进这个问题了。谢谢。
    2017年10月22日 7:52