2012 Server. Auditpol command and "Audit policy" GPO

[band]

Καλησπέρα. Υπάρχει ένας Windows 2012 server που είναι file server (Hyper-v vm, joined στο domain). Ήθελα να ενεργοποιήσω το "Audit object access" για να παρακολουθώ τις διαγραφές αρχείων. Έφτιαξα ένα group policy στον DC με το σχετικό policy και του είπα στο security filtering ότι ισχύει μόνο για τον file server. Έφτιαξα και το auditing στα folder που ήθελα να παρακολουθώ. Μετά το gpupdate είδα στον event viewer, στο security log, ότι είχε σταματήσει να καταγράφει τα διάφορα "Audit Success" και "Audit Failure" events που έκανε μέχρι πριν λίγη ώρα. Έσβησα το group policy και έκανα gpupdate χωρίς αποτέλεσμα.

Έχοντας export το virtual machine πριν ένα μήνα το ανέβασα offline και άρχισα να ψάχνω. Στο local gpedit.msc δεν είχε τίποτα configured στα Audit Policy και Advanced Audit Policy Configuration. Ήταν όλα unconfigured.

Τρέχοντας όμως την εντολή auditpol.exe /get /category:* μου έβγαλε αρκετές κατηγορίες που ήταν enabled, ενώ τρέχοντας την ίδια εντολή στον live server μου τα έβγαζε όλα unconfigured.Έκανα auditpol/backup στον offline και auditpol/restore στον live και επανήλθαν. Το security log άρχισε να καταγράφει και πάλι. Ενεργοποιώντας πάλι το GPO στον DC ξανά χάθηκαν και το security log σταμάτησε και πάλι.

 

Οι ερωτήσεις που έχω είναι οι εξής:

• Αφού στα local GPO δεν έχει τίποτα configured, από που έρχονται τα αποτελέσματα του auditpol.exe /get /category:* που δείχνει να υπάρχει παραμετροποίηση;
• Γιατί ενεργοποιώντας το GPO στον DC χάνονται όλες οι ρυθμίσεις για το auditing και όχι μόνο αυτό που έχω κάνει configured;
• Τελικά το auditing από που θα το ορίσω; Από το GPO ή με την εντολή auditpol για κάθε κατηγορία που θέλω.

Ευχαριστώ πολύ για τις απαντήσεις σας.

[Blackman]

κάτσε να βάλω σε σειρά την σκέψη σου...γιατί φοβάμαι ότι κάτι χάνω!
δώσε μου λίγο χρόνο

 

[band]

Καλημέρα, καλό μήνα. Καμιά ιδέα κάποιος;