auditpol set

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Define a política de auditoria por usuário, a política de auditoria do sistema ou as opções de auditoria.

Para executar operações de conjunto nas políticas por usuário e sistema, você deve ter a permissão Gravação ou Controle Total para esse objeto definido no descritor de segurança. Você também poderá executar operações de conjunto se tiver o direito de usuário Gerenciar log de auditoria e segurança (SeSecurityPrivilege). No entanto, esse direito permite acesso adicional que não é necessário para executar as operações gerais do conjunto.

Sintaxe

auditpol /set
[/user[:<username>|<{sid}>][/include][/exclude]]
[/category:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/subcategory:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/option:<option name> /value: <enable>|<disable>]

Parâmetros

Parâmetro Descrição
/user A entidade de segurança para a qual a política de auditoria por usuário especificada pela categoria ou subcategoria está definida. A opção de categoria ou subcategoria deve ser especificada, como um sid (identificador de segurança) ou nome.
/include Especificado com /user; indica que a política do usuário por usuário fará com que uma auditoria seja gerada mesmo que ela não seja especificada pela política de auditoria do sistema. Essa configuração é o padrão e é aplicada automaticamente se os parâmetros /include nem /exclude são especificados explicitamente.
/exclude Especificado com /user; indica que a política do usuário por usuário fará com que uma auditoria seja suprimida, independentemente da política de auditoria do sistema. Essa configuração é ignorada para usuários que são membros do grupo administradores local.
/category Uma ou mais categorias de auditoria especificadas pelo GUID (identificador global exclusivo) ou nome. Se nenhum usuário for especificado, a política do sistema será definida.
/subcategoria Uma ou mais subcategorias de auditoria especificadas por GUID ou nome. Se nenhum usuário for especificado, a política do sistema será definida.
/success Especifica a auditoria bem-sucedida. Essa configuração é o padrão e é aplicada automaticamente se os parâmetros /success nem /failure são especificados explicitamente. Essa configuração deve ser usada com um parâmetro que indica se a configuração deve ser habilitada ou desabilitada.
/failure Especifica a auditoria de falha. Essa configuração deve ser usada com um parâmetro que indica se a configuração deve ser habilitada ou desabilitada.
/option Define a política de auditoria para as opções CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects ou AuditBasedirectories.
/sd Define o descritor de segurança usado para delegar acesso à política de auditoria. O descritor de segurança deve ser especificado usando a SDDL (Linguagem de Definição do Descritor de Segurança). O descritor de segurança deve ter uma DACL (lista de controle de acesso discricionário).
/? Exibe a ajuda no prompt de comando.

Exemplos

Para definir a política de auditoria por usuário para todas as subcategorias na categoria De rastreamento detalhada para o usuário mikedan para que todas as tentativas bem-sucedidas do usuário sejam auditadas, digite:

auditpol /set /user:mikedan /category:detailed Tracking /include /success:enable

Para definir a política de auditoria por usuário para categorias especificadas por nome e GUID e subcategorias especificadas pelo GUID para suprimir a auditoria para quaisquer tentativas bem-sucedidas ou com falha, digite:

auditpol /set /user:mikedan /exclude /category:Object Access,System,{6997984b-797a-11d9-bed3-505054503030}
/subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},:{0ccee9211-69ae-11d9-bed3-505054503030}, /success:enable /failure:enable

Para definir a política de auditoria por usuário para o usuário especificado para todas as categorias para a supressão da auditoria de todas as tentativas, mas bem-sucedidas, digite:

auditpol /set /user:mikedan /exclude /category:* /success:enable

Para definir a política de auditoria do sistema para todas as subcategorias na categoria De rastreamento detalhada para incluir a auditoria apenas para tentativas bem-sucedidas, digite:

auditpol /set /category:detailed Tracking /success:enable

Observação

A configuração de falha não é alterada.

Para definir a política de auditoria do sistema para as categorias Acesso a Objeto e Sistema (o que é implícito porque as subcategorias estão listadas) e subcategorias especificadas pelos GUIDs para a supressão de tentativas com falha e a auditoria de tentativas bem-sucedidas, digite:

auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable

Para definir as opções de auditoria para o estado habilitado para a opção CrashOnAuditFail, digite:

auditpol /set /option:CrashOnAuditFail /value:enable

Referências adicionais