none
组策略信息丢失原因 RRS feed

  • 问题

  • 微软工程师,您好,

    这两天发现系统的软件限制策略全部丢失了,之前我们设置了大约好几十几条软件限制策略,现在我们想查明原因,还请您协助一下。

    组策略的相关属性为:

    DC的系统为Windows Server2012 R2;

    域的功能级别为Windows Server2012;

    之前审核日志已开;

    期待您的回复。

    • 已移动 Manu Meng 2018年12月17日 1:58 relocate
    2018年12月14日 4:50

答案

  • 您好,

    组策略被修改的日志是5136.

    您可以根据以下链接中的步骤检查开启审核过程。

    https://www.lepide.com/how-to/detect-who-deleted-a-gpo-in-active-directory.html

    请注意:由于该网站不是由Microsoft托管,因此链接可能会更改,恕不另行通知。Microsoft不保证此信息的准确性。

    如果您怀疑您的SYSVOL复制有问题的话,您可以在某台域控上的SYSVOL文件夹下新建一个文件夹,看过一段时间后是否会复制到别的域控上。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 RanRan,Zhao 2018年12月19日 7:24
    2018年12月18日 7:52
    版主

全部回复

  • 您好,

    根据您的描述,您的问题是“Windows Server中的软件限制策略全部丢失”。

    鉴于此论坛主要讨论与Exchange服务器安装,应用,管理,运维的问题,而您的问题更偏向于Windows服务器AD方面。为了更好的帮助您,我会将这个帖子移动到Windows Server system论坛。

    感谢您的理解与支持!

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年12月17日 1:58
  • Hi  Manu,

    非常感谢,我提交CASE的时候,忘记选择模块了,直接默认的Exchange Server.

    2018年12月17日 2:05
  • 您好,

    根据我的理解,目前您是配置了GPO里的软件限制策略,而GPO还在但是GPO里的策略内容丢失了。如果我误解了,请您及时纠正。

    由于您说已经开启了审核日志,那么请问在事件查看器中我们是否有找到任何相关日志呢?

    据我所知,GPO里的策略丢失,目前来说最好是根据审核日志来进行排错的。

    请将审核策略的详细配置分享给我们。

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年12月17日 8:52
    版主
  • Hi Kallen,

    我们审核策略如下,如果是人为删除的,可以通过审核的哪些日志找出来?

    对于该问题,如果不是人为删除的话,那就是SYSVOL导致的丢失了,目前我们使用的FRS。

    期待您的回复。

    2018年12月17日 9:03
  • 您好,

    组策略被修改的日志是5136.

    您可以根据以下链接中的步骤检查开启审核过程。

    https://www.lepide.com/how-to/detect-who-deleted-a-gpo-in-active-directory.html

    请注意:由于该网站不是由Microsoft托管,因此链接可能会更改,恕不另行通知。Microsoft不保证此信息的准确性。

    如果您怀疑您的SYSVOL复制有问题的话,您可以在某台域控上的SYSVOL文件夹下新建一个文件夹,看过一段时间后是否会复制到别的域控上。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 RanRan,Zhao 2018年12月19日 7:24
    2018年12月18日 7:52
    版主
  • Hi Kallen,

    多谢你的协助。

    这种问题太不查原因了,首先不知道什么时候修改的策略,再者安全日志几小时就满了,一天就好几个安全事件的文件;另一个原因,好几十台DC,也不知道在哪个站点修改的,遇到这种审核查原因的,真心难呀。

    关于权限审核的查询事件ID,回头我再发一个新建的CASE,你帮我好好梳理一下。

    关于SYSVOL FRS问题,我们最近在整理迁移DFS的资料,这月底就开始迁移。

    再次感谢您的协助。

    2018年12月19日 7:24
  • 您好,

    感谢您的理解和支持。

    期待您的消息。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年12月19日 8:20
    版主