Аудит Windows Server 2019 удаляется сразу после применения

Я нашел ответ в этом вопрос но ссылка мертва, и, чтобы помочь будущим пользователям, я опубликую найденный мной ответ.

Итак, на днях у меня возник интересный случай.

Политики аудита в политике контроллеров домена были установлены на следующее, и не было других политик, блокирующих или изменяющих их.

--- изображение результата GPO при успешном доступе к службе каталогов аудита

После обновления политики были зарегистрированы следующие события:

--- изображение отчета об успешном аудите удалено

Кроме того, auditpol / get / category: * просто не будет показывать аудит после обновления политики:

--- изображение командной строки, показывающее отсутствие аудита

Так где же перезаписывалась эта безумная вещь? Этого не было в правилах, поскольку мы тщательно проверили их все на предмет наследования и т. Д.

Глядя на то, где клиент фактически хранит политику аудита, мы можем понять (C: \ Windows \ system32 \ grouppolicy \ machine \ microsoft \ windows nt \ audit \ audit.csv и C: \ Windows \ security)

Но ничего интересного там не было. Итак, последним местом, куда нужно было смотреть, были данные sysvol:

M: \ SYSVOL \ domain \ Policies {CEF3323C-FD89-4C03-9410-18F7A4922E5A} \ Machine \ microsoft \ windows nt \ Audit

Ага! Здесь был файл .CSV с заголовками - но без данных конфигурации в нем!

- изображение csv файла

Мы удалили этот файл, и теперь политики аудита правильно поступают на контроллеры домена и генерируются события аудита.

Странный. Оказывается, они применили политики через GPOBackup и, возможно, что-то произошло до резервного копирования.

В любом случае - надеюсь, это когда-нибудь поможет кому-то

Автор: Стив Патрик (плюнул)

Вот ссылка на архив статья

Спасибо, Стив, это помогло мне 9 лет спустя.