auditpol set
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Задает политику аудита для каждого пользователя, политику аудита системы или параметры аудита.
Для выполнения операций с набором политик для каждого пользователя и системы необходимо иметь разрешение на запись или полный контроль для этого объекта, заданного в дескрипторе безопасности. Вы также можете выполнять операции набора , если у вас есть право пользователя "Управление аудитом и безопасностью " (SeSecurityPrivilege). Однако это право позволяет получить дополнительный доступ, который не требуется для выполнения общих операций набора .
Синтаксис
auditpol /set
[/user[:<username>|<{sid}>][/include][/exclude]]
[/category:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/subcategory:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/option:<option name> /value: <enable>|<disable>]
Параметры
| Параметр | Описание |
|---|---|
| /user | Субъект безопасности, для которого задана политика аудита для каждого пользователя, указанная категорией или подкатегорией. Необходимо указать параметр категории или подкатегории в качестве идентификатора безопасности (SID) или имени. |
| /include | Задано с параметром /user; указывает, что политика каждого пользователя приведет к созданию аудита, даже если она не указана политикой аудита системы. Этот параметр используется по умолчанию и автоматически применяется, если ни параметр /include, ни /exclude не указан явным образом. |
| /Исключить | Задано с параметром /user; указывает, что политика каждого пользователя приведет к подавлению аудита независимо от политики аудита системы. Этот параметр игнорируется для пользователей, являющихся членами локальной группы Администратор istrators. |
| /по категориям | Одна или несколько категорий аудита, указанных глобально уникальным идентификатором (GUID) или именем. Если пользователь не указан, системная политика устанавливается. |
| /Подкатегории | Одна или несколько подкатегорий аудита, указанных GUID или именем. Если пользователь не указан, системная политика устанавливается. |
| /Успех | Указывает аудит успешности. Этот параметр используется по умолчанию и автоматически применяется, если параметры /success или /failure явно не указаны. Этот параметр должен использоваться с параметром, указывающим, следует ли включить или отключить параметр. |
| /Сбоя | Указывает аудит сбоев. Этот параметр должен использоваться с параметром, указывающим, следует ли включить или отключить параметр. |
| /Параметр | Задает политику аудита для параметров CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects или AuditBasedirectory. |
| /Sd | Задает дескриптор безопасности, используемый для делегирования доступа к политике аудита. Дескриптор безопасности должен быть указан с помощью языка определения дескриптора безопасности (SDDL). Дескриптор безопасности должен иметь список управления доступом (DACL). |
| /? | Отображение справки в командной строке. |
Примеры
Чтобы задать политику аудита для каждого пользователя для всех подкатегорий в подробной категории отслеживания для пользователя майкдан, чтобы все успешные попытки пользователя были проверены, введите:
auditpol /set /user:mikedan /category:detailed Tracking /include /success:enable
Чтобы задать политику аудита каждого пользователя для категорий, указанных по имени и GUID, и подкатегорий, указанных GUID для подавления аудита для любых успешных или неудачных попыток, введите:
auditpol /set /user:mikedan /exclude /category:Object Access,System,{6997984b-797a-11d9-bed3-505054503030}
/subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},:{0ccee9211-69ae-11d9-bed3-505054503030}, /success:enable /failure:enable
Чтобы задать политику аудита каждого пользователя для указанного пользователя для всех категорий для подавления аудита всех успешных попыток, введите:
auditpol /set /user:mikedan /exclude /category:* /success:enable
Чтобы задать политику аудита системы для всех подкатегорий в подробной категории отслеживания, чтобы включить аудит только успешных попыток, введите:
auditpol /set /category:detailed Tracking /success:enable
Примечание.
Параметр сбоя не изменяется.
Чтобы задать политику аудита системы для категорий доступа к объектам и системных категорий (подразумеваемых, так как перечислены подкатегории) и подкатегорий, указанных guid для подавления неудачных попыток и аудита успешных попыток, введите:
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
Чтобы задать параметры аудита в состоянии включено для параметра CrashOnAuditFail, введите следующее:
auditpol /set /option:CrashOnAuditFail /value:enable