Расширенная политика аудита безопасности не применяется к Win7

Проблема

Я пытаюсь применить GPO с конфигурациями расширенной политики аудита безопасности к клиенту Windows 7, но настройки не применяются.

Я перепроверил свою работу, используя эту статью -http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

Я включил Аудит: Принудительное применение параметров подкатегории политики аудита (Windows Vista или более поздняя версия), чтобы переопределить параметры категории политики аудита

Когда я запускаю auditpol.exe /get /category:*, я вижу, что применяются только расширенные настройки аудита по умолчанию, а не те, которые я установил в новом GPO. Я знаю, что сам GPO применяется к компьютеру, потому что присутствуют другие настройки в GPO, и RSOP показывает, что GPO успешно применен.

У нас есть GPO выше в структуре OU, который применяет некоторые расширенные настройки аудита, поэтому я подумал, что по какой-то причине он вмешивается или переопределяет, но они также не отображаются в auditpol.exe /get /category:*. Я выполнил auditpol.exe /clear, который очищает политику

| |

После того, как auditpol.exe /clear

|

Настройка категории/подкатегории

Система

Расширение системы безопасности без аудита

Целостность системы. Без аудита.

Драйвер IPsec без аудита

Другие системные события Без аудита

Изменение состояния безопасности без аудита

Вход/выход

Вход без аудита

Выход из системы без аудита

Блокировка учетной записи. Нет аудита.

Основной режим IPsec без аудита

Быстрый режим IPsec без аудита

Расширенный режим IPsec без аудита

Специальный вход без аудита

Другие события входа/выхода из системы Без аудита

Сервер сетевой политики Без аудита

Доступ к объекту

Файловая система без аудита

Реестр без аудита

Объект ядра без аудита

SAM Без аудита

Сертификационные услуги без аудита

Приложение создано без аудита

Манипуляция с обработкой без аудита

Файловый обмен без аудита

Фильтрация платформы Отбрасывание пакетов Без аудита

Фильтрация Платформы Подключение Без Аудита

Другие события доступа к объектам Без аудита

Подробный обмен файлами без аудита

Использование привилегий

Использование конфиденциальных привилегий без аудита

Нечувствительное использование привилегий без аудита

Другие события использования привилегий. Без аудита.

Подробное отслеживание

Завершение процесса Без аудита

DPAPI активность Нет аудита

События RPC без аудита

Создание процесса без аудита

Изменение политики

Изменение политики аудита. Отсутствие аудита.

Изменение политики аутентификации. Без аудита.

Изменение политики авторизации. Без аудита.

Изменение политики на уровне правил MPSSVC Без аудита

Фильтрация Изменение политики платформы Без аудита

Другие события изменения политики. Аудит не проводится.

Управление аккаунтом

Управление учетными записями пользователей. Без аудита.

Управление учетными записями компьютеров Без аудита

Управление группой безопасности. Без аудита.

Управление группой распространения. Без аудита.

Управление группами приложений. Без аудита.

Другие события управления счетом Без аудита

Изменения в службе каталогов DS Access без аудита

Репликация службы каталогов без аудита

Подробная репликация службы каталогов без аудита

Доступ к службе каталогов без аудита

Вход в учетную запись

Операции с билетами службы Kerberos без аудита

Другие события входа в учетную запись Без аудита

Служба аутентификации Kerberos без аудита

Проверка учетных данных. Без аудита.

Затем я выполнил gpupdate /force и перезагрузился, но AuditPol по-прежнему показывает «нет аудита» для всех настроек.

Я также удалил файл audit.csv, который, по-видимому, содержит настройки GPO выше в структуре (хотя я читал, что он содержит только локальные настройки), но не новый GPO, в C:\Windows\security\audit, а затем выполнил gpupdate /force. После запуска gpupdate /force файл был восстановлен и показал настройки по умолчанию и расширенные настройки аудита из GPO выше в структуре OU, а не новые настройки GPO, но auditpol по-прежнему не показывал аудита для всех настроек. Кроме того, дата изменения файла audit.csv была несколько месяцев назад, поэтому я подозреваю, что он просто извлекает информацию из исходного GPO? Я попробовал принудительно применить и ранжировать новый GPO выше, но он все еще не применяется.

Среда

клиент Windows 7 SP1 и Windows 2008R2 DC

Любая помощь будет оценена по достоинству.