auditpol get
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Recupera i criteri di sistema, i criteri per utente, le opzioni di controllo e l'oggetto descrittore di sicurezza di controllo.
Per eseguire operazioni di get sui criteri per-utente e di sistema, è necessario disporre dell'autorizzazione Read per l'oggetto impostato nel descrittore di sicurezza. È inoltre possibile eseguire operazioni get se si dispone del diritto utente Gestisci controllo e log di sicurezza (SeSecurityPrivilege). Tuttavia, questo diritto consente l'accesso aggiuntivo, che non è necessario per eseguire le operazioni generali di get .
Sintassi
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
Parametri
| Parametro | Descrizione |
|---|---|
| /utente | Visualizza l'entità di sicurezza per cui viene eseguita una query sui criteri di controllo per utente. È necessario specificare il parametro /category o /subcategory. L'utente può essere specificato come identificatore di sicurezza (SID) o nome. Se non viene specificato alcun account utente, viene eseguita una query sui criteri di controllo del sistema. |
| /category | Una o più categorie di controllo specificate da identificatore univoco globale (GUID) o nome. È possibile usare un asterisco (*) per indicare che è necessario eseguire query su tutte le categorie di controllo. |
| /subcategory | Una o più sottocategorie di controllo specificate dal GUID o dal nome. |
| /SD | Recupera il descrittore di sicurezza utilizzato per delegare l'accesso ai criteri di controllo. |
| /option | Recupera i criteri esistenti per le opzioni CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects o AuditBasedirectories. |
| /r | Visualizza l'output nel formato report CSV (valore separato da virgole ). |
| /? | Visualizza la guida al prompt dei comandi. |
Osservazioni:
Tutte le categorie e le sottocategorie possono essere specificate dal GUID o dal nome racchiuso tra virgolette ("). Gli utenti possono essere specificati dal SID o dal nome.
Esempi
Per recuperare i criteri di controllo per utente per l'account Guest e visualizzare l'output per le categorie Sistema, Rilevamento dettagliato e Accesso agli oggetti, digitare:
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
Nota
Questo comando è utile in due scenari. 1) Quando si monitora un account utente specifico per attività sospette, è possibile usare il /get comando per recuperare i risultati in categorie specifiche usando un criterio di inclusione per abilitare il controllo aggiuntivo. 2) se le impostazioni di controllo in un account registrano numerosi eventi ma superflui, è possibile usare il /get comando per filtrare gli eventi estranei per tale account con un criterio di esclusione. Per un elenco di tutte le categorie, usare il comando auditpol /list /category.
Per recuperare i criteri di controllo per utente per una categoria e una determinata sottocategoria, che segnala le impostazioni inclusive ed esclusive per tale sottocategoria nella categoria Sistema per l'account Guest, digitare:
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Per visualizzare l'output in formato report e includere il nome del computer, la destinazione dei criteri, la sottocategoria, il GUID della sottocategoria, le impostazioni di inclusione e le impostazioni di esclusione, digitare:
auditpol /get /user:guest /category:detailed Tracking /r
Per recuperare i criteri per la categoria di sistema e le sottocategorie, che segnalano le impostazioni dei criteri di categoria e sottocategoria per i criteri di controllo del sistema, digitare:
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Per recuperare i criteri per la categoria di rilevamento dettagliata e le sottocategorie in formato report e includere il nome del computer, la destinazione dei criteri, la sottocategoria, il GUID della sottocategoria, le impostazioni di inclusione e le impostazioni di esclusione, digitare:
auditpol /get /category:detailed Tracking /r
Per recuperare i criteri per due categorie con le categorie specificate come GUID, che segnala tutte le impostazioni dei criteri di controllo di tutte le sottocategorie in due categorie, digitare:
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Per recuperare lo stato, abilitato o disabilitato, dell'opzione AuditBaseObjects, digitare:
auditpol /get /option:AuditBaseObjects
Dove le opzioni disponibili sono AuditBaseObjects, AuditBaseOperations e FullprivilegeAuditing. Per recuperare lo stato abilitato, disabilitato o 2 dell'opzione CrashOnAuditFail, digitare:
auditpol /get /option:CrashOnAuditFail /r