Win Server 2008 R2 开启了组策略管理中 “审核对象访问” 但日志中无记录。（域控的本地策略无法开启）

C:\Windows\System32\GroupPolicy右键属性 安全 编辑 更改everyone的权限把所有勾都都勾上 确定即可 注意：如果提示没有权限更改 则找到GroupPolicy右键属性 安全 高级 更改所有者 编辑 把所有者更改为administrators 确定 这个文件夹默认是隐藏的 你需要显示下系统文件。不行的话，检查 Administrator 的注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 是否存在 RESTRICTRUN =1，将其删除或修改为 =0。

在高度安全环境中，Windows 安全日志是写入记录对象访问的事件的合适位置。其他审核位置也受支持，但是更易被篡改。

将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求：

必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。

在 Windows Vista 和 Windows Server 2008 中，使用审核策略工具 (

auditpol.exe

)。审核策略程序公开了

审核对象访问

类别中的多种子策略设置。若要允许 SQL Server 审核对象访问，请配置

应用程序生成的设置。

对于 Windows 的早期版本，审核策略工具不可用。请改用安全策略管理单元 (secpol.msc

)。如果可用，优先采用审核策略，因为可以配置更精细的设置。

SQL Server 服务正在其下运行的帐户必须拥有

生成安全审核

权限才能写入 Windows 安全日志。默认情况下，LOCAL SERVICE 和 NETWORK SERVICE 帐户拥有此权限。如果 SQL Server 正在其中一个帐户下运行，则不需要此步骤。

将 Windows 审核策略配置为写入 Windows 安全日志时，可能会影响 SQL Server 审核，此时若该审核策略配置不正确，就可能导致事件丢失。通常，将 Windows 安全日志设置为覆盖较旧的事件。这样可保留最新的事件。但如果 Windows 安全日志未设置为覆盖较旧的事件，则当安全日志已满时，系统将发出 Windows 事件 1104（日志已满）。此时：

不再记录其他安全事件

SQL Server 将无法检测系统是否能够在安全日志中记录事件，从而导致可能丢失审核事件

Box 管理员修复安全日志后，日志记录行为将恢复正常。

SQL Server 计算机的管理员应了解安全日志的本地设置可能会被域策略覆盖。在这种情况下，域策略可能覆盖子类别设置 (

auditpol /get /subcategory:"application generated"

)。这可能会影响 SQL Server 在无法检测 SQL Server 尝试审核的事件是否将不被记录的情况下记录事件的能力。

您必须是 Windows 管理员，才能配置这些设置。

---