auditpol set
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
设置每用户审核策略、系统审核策略或审核选项。
要对每用户策略和系统策略执行“设置”操作,你必须在安全描述符中设置对该对象的“写入”或“完全控制”权限。 如果你拥有“管理审核和安全日志”(SeSecurityPrivilege) 用户权限,则也可以执行“设置”操作。 但是,此权限还允许执行整体设置操作不需要的其他访问权限。
语法
auditpol /set
[/user[:<username>|<{sid}>][/include][/exclude]]
[/category:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/subcategory:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/option:<option name> /value: <enable>|<disable>]
参数
| 参数 | 说明 |
|---|---|
| /user | 设置了每用户审核策略(策略由类别或子类别指定)的安全主体。 必须将类别或子类别选项指定为安全标识符 (SID) 或名称。 |
| /include | 使用 /user 指定;指示用户的每用户策略将导致生成审核,即使系统审核策略未指定审核。 此设置是默认设置,如果未显式指定 /include 和 /exclude 参数,则会自动应用此设置。 |
| /exclude | 使用 /user 指定;指示无论系统审核策略如何,用户的每用户策略都将导致禁止审核。 对于属于本地管理员组成员的用户,将忽略此设置。 |
| /category | 按全局唯一标识符 (GUID) 或名称指定的一个或多个审核类别。 如果未指定用户,则设置系统策略。 |
| /subcategory | 按 GUID 或名称指定的一个或多个审核子类别。 如果未指定用户,则设置系统策略。 |
| /success | 指定成功审核。 此设置是默认设置,如果未显式指定 /success 和 /failure 参数,则会自动应用此设置。 此设置必须与指示是启用还是禁用设置的参数一起使用。 |
| /failure | 指定失败审核。 此设置必须与指示是启用还是禁用设置的参数一起使用。 |
| /option | 为 CrashOnAuditFail、FullprivilegeAuditing、AuditBaseObjects 或 AuditBasedirectories 选项设置审核策略。 |
| /sd | 设置用于委派对审核策略的访问权限的安全描述符。 必须使用安全描述符定义语言 (SDDL) 指定安全描述符。 安全描述符必须具有自由访问控制列表 (DACL)。 |
| /? | 在命令提示符下显示帮助。 |
示例
若要为用户 mikedan 的详细跟踪类别下的所有子类别设置每用户审核策略,以便审核所有用户的所有成功尝试,请键入:
auditpol /set /user:mikedan /category:detailed Tracking /include /success:enable
若要为按名称和 GUID 指定的类别以及 GUID 指定的子类别设置每用户审核策略,以禁止审核任何成功或失败的尝试,请键入:
auditpol /set /user:mikedan /exclude /category:Object Access,System,{6997984b-797a-11d9-bed3-505054503030}
/subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},:{0ccee9211-69ae-11d9-bed3-505054503030}, /success:enable /failure:enable
若要为所有类别的指定用户设置每用户审核策略,以禁止显示除成功尝试的审核,请键入:
auditpol /set /user:mikedan /exclude /category:* /success:enable
若要为详细跟踪类别下的所有子类别设置系统审核策略,以仅包括对成功尝试的审核,请键入:
auditpol /set /category:detailed Tracking /success:enable
注意
失败设置不会更改。
若要为“对象访问”和“系统”类别(由于列出了子类别而表明)以及按 GUID 指定的子类别设置系统审核策略,从而禁止显示失败尝试并审核成功尝试,请键入:
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
若要针对 CrashOnAuditFail 选项,将审核选项设置为已启用状态,请键入:
auditpol /set /option:CrashOnAuditFail /value:enable