auditpol set
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Définit la stratégie d’audit par utilisateur, la stratégie d’audit système ou les options d’audit.
Pour effectuer des opérations set sur les stratégies par utilisateur et système, vous devez disposer de l’autorisation Écriture ou Contrôle total pour cet objet défini dans le descripteur de sécurité. Vous pouvez également effectuer des opérations set si vous disposez du droit d’utilisateur Gérer le journal d’audit et de sécurité (SeSecurityPrivilege). Toutefois, ce droit autorise un accès supplémentaire qui n’est pas nécessaire pour effectuer les opérations set globales.
Syntaxe
auditpol /set
[/user[:<username>|<{sid}>][/include][/exclude]]
[/category:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/subcategory:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/option:<option name> /value: <enable>|<disable>]
Paramètres
| Paramètre | Description |
|---|---|
| /user | Principal de sécurité pour lequel la stratégie d’audit par utilisateur spécifiée par la catégorie ou la sous-catégorie est définie. L’option de catégorie ou de sous-catégorie doit être spécifiée, en tant qu’identificateur de sécurité (SID) ou nom. |
| /include | Spécifié avec /user ; indique que la stratégie par utilisateur de l’utilisateur entraîne la génération d’un audit même s’il n’est pas spécifié par la stratégie d’audit système. Ce paramètre est le paramètre par défaut et est appliqué automatiquement si aucun des paramètres /include et /exclude n’est explicitement spécifié. |
| /exclude | Spécifié avec /user ; indique que la stratégie par utilisateur de l’utilisateur entraîne la suppression d’un audit, quelle que soit la stratégie d’audit système. Ce paramètre est ignoré pour les utilisateurs membres du groupe Administrateurs local. |
| /category | Une ou plusieurs catégories d’audit spécifiées par l’identificateur global unique (GUID) ou le nom. Si aucun utilisateur n’est spécifié, la stratégie système est définie. |
| /subcategory | Une ou plusieurs sous-catégories d’audit spécifiées par le GUID ou le nom. Si aucun utilisateur n’est spécifié, la stratégie système est définie. |
| /success | Spécifie la réussite de l’audit. Ce paramètre est le paramètre par défaut et est appliqué automatiquement si aucun des paramètres /success et /failure n’est explicitement spécifié. Ce paramètre doit être utilisé avec un paramètre indiquant s’il faut activer ou désactiver le paramètre. |
| /failure | Spécifie l’échec de l’audit. Ce paramètre doit être utilisé avec un paramètre indiquant s’il faut activer ou désactiver le paramètre. |
| /option | Définit la stratégie d’audit pour les options CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects ou AuditBasedirectories. |
| /sd | Définit le descripteur de sécurité utilisé pour déléguer l’accès à la stratégie d’audit. Le descripteur de sécurité doit être spécifié à l’aide du langage SDDL (Security Descriptor Definition Language). Le descripteur de sécurité doit avoir une liste de contrôle d’accès discrétionnaire (DACL). |
| /? | Affiche l'aide à l'invite de commandes. |
Exemples
Pour définir la stratégie d’audit par utilisateur pour toutes les sous-catégories sous la catégorie de suivi détaillée de l’utilisateur mikedan afin que toutes les tentatives réussies de l’utilisateur soient auditées, tapez :
auditpol /set /user:mikedan /category:detailed Tracking /include /success:enable
Pour définir la stratégie d’audit par utilisateur pour les catégories spécifiées par nom et GUID et pour les sous-catégories spécifiées par GUID afin de supprimer l’audit pour toute tentative réussie ou ayant échoué, tapez :
auditpol /set /user:mikedan /exclude /category:Object Access,System,{6997984b-797a-11d9-bed3-505054503030}
/subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},:{0ccee9211-69ae-11d9-bed3-505054503030}, /success:enable /failure:enable
Pour définir la stratégie d’audit par utilisateur pour l’utilisateur spécifié pour toutes les catégories pour la suppression de l’audit de toutes les tentatives réussies, tapez :
auditpol /set /user:mikedan /exclude /category:* /success:enable
Pour définir la stratégie d’audit système pour toutes les sous-catégories sous la catégorie de suivi détaillée afin d’inclure l’audit uniquement pour les tentatives réussies, tapez :
auditpol /set /category:detailed Tracking /success:enable
Notes
Le paramètre d’échec n’est pas modifié.
Pour définir la stratégie d’audit système pour les catégories d’accès aux objets et système (ce qui est implicite, car les sous-catégories sont listées) et pour les sous-catégories spécifiées par les GUID pour la suppression des tentatives ayant échoué et l’audit des tentatives réussies, tapez :
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
Pour définir les options d’audit sur l’état activé pour l’option CrashOnAuditFail, tapez :
auditpol /set /option:CrashOnAuditFail /value:enable