常见问题

• 如何验证所需的审计策略是否已配置？

  使用域管理员凭据登录到任何具有 GPMC 的计算机。打开 GPMC，右键单击“组策略结果”，然后打开“组策略结果向导”。选择计算机和用户（当前用户），然后验证在步骤 2.2 中定义的期望设置是否已配置。

• 我如何验证期望的事件是否被记录？

  使用域管理员凭据登录到任何计算机。打开“运行”，输入 eventvwr.msc。右键单击“事件查看器”。连接到目标计算机，然后验证与配置的审核策略对应的事件是否被记录。例如，当在对象访问类别下的审核应用程序生成子类别中配置成功审核事件时，应记录事件 ID 1200（参见步骤 2.2.1）。

• 如果发生以下情况，我该怎么办：

  • AD FS 登录成功和失败数据不可用？

    • 检查审核策略（参见步骤 2.2.1）和 AD FS 审核（参见步骤 3.1）是否已配置。

  • 主 SID、UPN、客户端 IP、企业内部网络、代理或转发的客户端 IP 数据不可用？

    • 检查是否已配置相应的声明规则（参见步骤 3.2）。

  • 外部网络锁定数据不可用？

    • 检查是否已配置外部网络锁定设置（参见步骤 3.3）。

  使用域管理员凭据登录到任何具有 GPMC 的计算机。打开 GPMC，右键单击“组策略结果”，然后打开“组策略结果向导”。选择计算机和用户（当前用户），然后验证在步骤 2.2 中定义的期望设置是否已配置。

• 我如何验证是否配置了期望的审核策略？

  使用域管理员凭据登录到任何具有 GPMC 的计算机。打开 GPMC，右键单击“组策略结果”，然后打开“组策略结果向导”。选择计算机和用户（当前用户），然后验证在步骤 2.2 中定义的期望设置是否已配置。