Было принято решение включить аудит для отслеживания удаленных файлов/папок. Через базовый аудит доступа к объектам все работало, но журнал слишком быстро заполнялся посторонней информацией аудита, решил использовать расширенные политики аудита, но столкнулся с проблемой...
не работают расширенные политики аудита через оснастку локальной и групповой политики DC.
В локальной политике\параметры безопасности\Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита - включен" так же в"конфигурации расширенной политики аудита\доступ к объектам\аудит файловой системе" включил "Успех". Пробовал делать тоже самое через GPO, политики применяются успешно, но в журнале безопасности windows не появляются события аудита.
Через утилиту auditpol c опцией /get category:* видно, что выбранная политика аудита "Аудит файловой системы" в доступе к объектам не включена.
Но если через эту же утилиту включить данную опцию аудита командой auditpol.exe /set /subcategory:"аудит файловой системы" /success:enable все работает как надо. Так же в auditpol c опцией /get category:* видно что политика включена с пометкой "Успех". Так же заметил, что если включать/отключать разные расширенные политики аудита при помощи, auditpol, то в оснастке локальной политики все остается без изменений, будто живет своей жизнью.
Подскажите, кто знает, почему именно расширенная политика аудита не работает через оснастку локальной политики/gpo?

p.s. win2008R2 RUS, DC. Все обновления установлены.

Такая же проблема, Windows 7, долго искал причины, нашёл здесь. (https://habr.com/ru/post/476464/) Это просто ещё один баг винды.

Причины

Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся:

Использование прав --> Аудит использования прав, затрагивающих конфиденциальные данные. GUID: {0cce9228-69ae-11d9-bed3-505054503030}.
Использование прав --> Аудит использования прав, не затрагивающих конфиденциальные данные. GUID: {0cce9229-69ae-11d9-bed3-505054503030}.
Доступ к объектам --> Аудит событий, создаваемых приложениями. GUID:{ 0cce9222-69ae-11d9-bed3-505054503030}.


Рекомендации по решению проблемы

Если проблема еще не произошла, то не активируйте указанные «сбойные» подкатегории. Если события этих подкатегорий очень нужны, то пользуйтесь утилитой auditpol для их активации или же управляйте аудитом с помощью базовых политик.

Если проблема произошла, то необходимо:

Из каталога доменной групповой политики удалить файл \Machine\microsoft\windows nt\Audit\audit.csv
Со всех компьютеров, на которых были выявлены проблемы с аудитом, удалить файлы: %SystemRoot%\security\audit\audit.csv, %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv


Я эти три сбойные категории не активировал (или забыл, что когда-то активировал, а потом деактивировал). А может некоторые другие активированные у меня категории тоже сбойные. В любом случае удалил два файла. Включил в оснастке "Аудит входа в систему", чтобы новые файлы появились. После чего результат выполнения auditpol /get /category:* стал совпадать с содержимым оснастки.