在 Windows Server 2008 R2  的稽核功能中，新增了「進階稽核」，此功能將原來的稽核功能劃分的更細，舉例而言，以前如果要針對某個資料夾進行檔案稽核時，必須開啟稽核物件存取的原則，相信使用過這個原則的 IT 人都知道，如此會造成 event logs 爆炸性的成長，事際上我們只需要稽核檔案的存取而已。終於，在 2008 R2 的版本中，我們看到了改善。

使用進階稽核之前，必須要注意，進階稽核與一般稽核共用時會造成稽核失敗的狀況，即你有設定，但不會生效。我個人的建議是，IT 的設定越單純化越好，只設定進階稽核即可。

如下圖 1. 所示，透過 rsop.msc (原則結果組) 可以發現，有設定一般的稽核原則，但是如果同時也設定了進階稽核原則，就會看到如下圖 2. 的結果，明明圖1. 的一般稽核的圖示有亮起來，但是圖 2. 卻寫上沒有稽核，實際上測試時，也會發生並無生效。

圖1.

圖2.

                                                圖3.

如果不幸發生上述問題，其實解決方法也很簡單，如下：

(1) 將 \\<dc>\SYSVOL\<your domain name>\  目錄下的所有 audit.csv 刪除

(2) 將 GPO 中的進階稽核原則設定移除即可

(3) 重新套用 gpupdate /force

 

如果考慮使用進階稽核的朋友，可參考下述說明

在使用進階稽核原則時，務必開啟 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 啟用以覆寫稽核原則類別設定] 原則設定。

設定完成後，在 Local Security Policy 的管理介面中，可能看不到進階稽核原則的套用狀況，建議使用 auditpol.exe /get /category:* 來查詢生效的狀況。

最後，如果之前本機安全性原則有設定進階稽核原則，取消後造成 domain GPO 設定套用有問題時，可將原來的稽核設定清除，再重套用 GPO 即可。

1、auditpol.exe /clear

2、gpupdate /force

 

參考文獻：

http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx