auditpol set
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Legt die Pro-Benutzer-Überwachungsrichtlinie, die Systemüberwachungsrichtlinie oder Überwachungsoptionen fest.
Zum Ausführen von set-Vorgängen für die Pro-Benutzer-Richtlinien und die Systemrichtlinien müssen Sie in der Sicherheitsbeschreibung für dieses Objekt über die Berechtigung Schreiben oder Vollzugriff verfügen. Sie können ebenfalls set-Vorgänge ausführen, wenn Ihnen das Benutzerrecht Verwalten von Überwachungs- und Sicherheitsprotokollen (SeSecurityPrivilege) zugewiesen ist. Dieses Recht erlaubt jedoch zusätzlichen Zugriff, der zum Ausführen der gesamten set-Vorgänge nicht notwendig ist.
Syntax
auditpol /set
[/user[:<username>|<{sid}>][/include][/exclude]]
[/category:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/subcategory:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/option:<option name> /value: <enable>|<disable>]
Parameter
| Parameter | BESCHREIBUNG |
|---|---|
| /user | Der Sicherheitsprinzipal, für den die per Kategorie oder Unterkategorie angegebene Pro-Benutzer-Überwachungsrichtlinie festgelegt ist. Es muss entweder die Option für die Kategorie oder die Unterkategorie angegeben werden, und zwar als Sicherheitsbezeichner (SID) oder als Name. |
| /include | Angegeben mit „/user“. Gibt an, dass die benutzerspezifische Richtlinie selbst dann eine Überwachung auslöst, wenn dies in der Systemüberwachungsrichtlinie nicht vorgesehen ist. Dies ist die Standardeinstellung, die automatisch angewendet wird, wenn weder die Parameter „/include“ noch „/exclude“ explizit angegeben werden. |
| /exclude | Angegeben mit „/user“. Gibt an, dass die benutzerspezifische Richtlinie unabhängig von der Systemüberwachungsrichtlinie die Unterdrückung einer Überprüfung bewirkt. Diese Einstellung wird für Benutzer*innen ignoriert, die der Gruppe der lokalen Administrator*innen angehören. |
| /category | Eine oder mehrere Überwachungskategorien, angegeben durch einen global eindeutigen Bezeichner (GUID) oder Namen. Wenn kein*e Benutzer*in angegeben ist, wird die Systemrichtlinie festgelegt. |
| /subcategory | Eine oder mehrere Überwachungsunterkategorien, angegeben durch einen global eindeutigen Bezeichner (GUID) oder Namen. Wenn kein*e Benutzer*in angegeben ist, wird die Systemrichtlinie festgelegt. |
| /success | Gibt die Erfolgsüberwachung an. Dies ist die Standardeinstellung, die automatisch angewendet wird, wenn weder die Parameter „/success“ noch „/failure“ explizit angegeben werden. Diese Einstellung muss mit einem Parameter verwendet werden, der angibt, ob die Einstellung aktiviert oder deaktiviert werden soll. |
| /failure | Gibt die Fehlerüberwachung an. Diese Einstellung muss mit einem Parameter verwendet werden, der angibt, ob die Einstellung aktiviert oder deaktiviert werden soll. |
| /option | Legt die Überwachungsrichtlinie für die Verzeichnisse „CrashOnAuditFail“, „FullprivilegeAuditing“, „AuditBaseObjects“ oder „AuditBasedirectories“ fest. |
| /sd | Legt die Sicherheitsbeschreibung fest, die zum Delegieren des Zugriffs an die Überwachungsrichtlinie verwendet wird. Die Sicherheitsbeschreibung muss unter Verwendung der Security Descriptor Definition Language (SDDL) angegeben werden. Die Sicherheitsbeschreibung muss über eine besitzerverwaltete Zugriffssteuerungsliste (Discretionary Access Control List, DACL) verfügen. |
| /? | Zeigt die Hilfe an der Eingabeaufforderung an. |
Beispiele
Geben Sie Folgendes ein, um die Pro-Benutzer-Überwachungsrichtlinie für den Benutzer „mikedan“ so festzulegen, dass für sämtliche Unterkategorien der Kategorie „detailed Tracking“ (detaillierte Nachverfolgung) alle erfolgreichen Benutzerversuche überwacht werden:
auditpol /set /user:mikedan /category:detailed Tracking /include /success:enable
Geben Sie Folgendes ein, um die Pro-Benutzer-Überwachungsrichtlinie für die per Name und GUID angegebenen Kategorien sowie für die per GUID angegebenen Unterkategorien so festzulegen, dass die Überwachung für alle erfolgreichen oder fehlgeschlagenen Versuche unterdrückt wird:
auditpol /set /user:mikedan /exclude /category:Object Access,System,{6997984b-797a-11d9-bed3-505054503030}
/subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},:{0ccee9211-69ae-11d9-bed3-505054503030}, /success:enable /failure:enable
Wenn Sie die Pro-Benutzer-Überwachungsrichtlinie für die angegebenen Benutzer*innen für alle Kategorien so festlegen möchten, dass mit Ausnahme der erfolgreichen Versuche alle Überwachungsereignisse unterdrückt werden, geben Sie Folgendes ein:
auditpol /set /user:mikedan /exclude /category:* /success:enable
Um die Systemüberwachungsrichtlinie für alle Unterkategorien der Kategorie „detailed Tracking“ (detaillierte Nachverfolgung) so festzulegen, dass nur erfolgreiche Versuche überwacht werden, geben Sie Folgendes ein:
auditpol /set /category:detailed Tracking /success:enable
Hinweis
Die Fehlereinstellung wird nicht geändert.
Geben Sie Folgendes ein, um die Systemüberwachungsrichtlinie für die Kategorien „Objektzugriff“ und „System“ (implizit angegeben, da Unterkategorien aufgelistet werden) und die per GUID angegebenen Unterkategorien so festzulegen, dass fehlgeschlagene Versuche unterdrückt und erfolgreiche Versuche überwacht werden:
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
Zum Festlegen der Überwachungsoptionen für die Option „CrashOnAuditFail“ geben Sie Folgendes ein:
auditpol /set /option:CrashOnAuditFail /value:enable