auditpol set
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
設定每使用者稽核策略、系統審核策略或審核選項。
若要對每個使用者和系統原則執行設定操作,您必須對安全描述符中設定的物件具有寫入或完全控制權限。 如果您具有管理審核和安全性日誌 (SeSecurityPrivilege) 使用者權限,您也可以執行設定操作。 但是,此權限允許執行整個集合操作所不需要的額外存取。
語法
auditpol /set
[/user[:<username>|<{sid}>][/include][/exclude]]
[/category:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/subcategory:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/option:<option name> /value: <enable>|<disable>]
參數
| 參數 | 描述 |
|---|---|
| /user | 為其設定由類別或子類別指定的每個使用者審核策略的安全主體。 必須將類別或子類別選項指定為安全性識別碼 (SID) 或名稱。 |
| /include | 用 /user 指定; 指示使用者的每使用者策略將導致產生審核,即使系統審核策略未指定也是如此。 此設定是預設設置,如果未明確指定 /include 或 /exclude 參數,則會自動套用此設定。 |
| /exclude | 用 /user 指定; 表示無論系統審核策略為何,使用者的每使用者策略都會導致審核被抑制。 對於屬於本機管理員群組成員的使用者,此設定將被忽略。 |
| /category | 由全域唯一識別碼 (GUID) 或名稱指定的一個或多個審核類別。 如果未指定用戶,則設定係統策略。 |
| /subcategory | 由 GUID 或名稱指定的一個或多個審核子類別。 如果未指定用戶,則設定係統策略。 |
| /success | 指定成功審核。 此設定是預設設置,如果未明確指定 /success 和 /failure 參數,則會自動套用此設定。 此設定必須與指示是否啟用或停用該設定的參數一起使用。 |
| /failure | 指定失敗審核。 此設定必須與指示是否啟用或停用該設定的參數一起使用。 |
| /option | 設定 CrashOnAuditFail、FullprivilegeAuditing、AuditBaseObjects 或 AuditBasedirectories 選項的審核策略。 |
| /sd | 設定用於委派對審核策略的存取權限的安全描述符。 安全描述符必須使用安全描述符定義語言 (SDDL) 來指定。 安全描述符必須具有任意存取控制清單 (DACL)。 |
| /? | 在命令提示字元顯示說明。 |
範例
若要為使用者 mikedan 的詳細追蹤類別下的所有子類別設定每個使用者審核策略,以便審核所有使用者的成功嘗試,請鍵入:
auditpol /set /user:mikedan /category:detailed Tracking /include /success:enable
若要為名稱和 GUID 指定的類別以及由 GUID 指定的子類別設定每使用者審核原則以禁止對任何成功或失敗的嘗試進行審核,請鍵入:
auditpol /set /user:mikedan /exclude /category:Object Access,System,{6997984b-797a-11d9-bed3-505054503030}
/subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},:{0ccee9211-69ae-11d9-bed3-505054503030}, /success:enable /failure:enable
若要為所有類別的指定使用者設定每使用者審核策略,以禁止審核除成功嘗試之外的所有嘗試,請鍵入:
auditpol /set /user:mikedan /exclude /category:* /success:enable
若要將詳細追蹤類別下的所有子類別的系統審核策略設定為僅包含對成功嘗試的審核,請鍵入:
auditpol /set /category:detailed Tracking /success:enable
注意
故障設定不會改變。
若要為「物件存取」和「系統」類別(這是隱含的,因為列出了子類別)以及 GUID 指定的子類別設定係統審核策略,以抑制失敗的嘗試並審核成功的嘗試,請鍵入:
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
若要將 CrashOnAuditFail 選項的稽核選項設為啟用狀態,請鍵入:
auditpol /set /option:CrashOnAuditFail /value:enable