auditpol resourceSACL

Si applica a: Windows Server 2022, Windows Server 2019, Windows 7 e Windows Server 2008 R2

Configura gli elenchi di controllo di accesso (SACLs) globali del sistema delle risorse.

Per eseguire operazioni resourceSACL , è necessario disporre delle autorizzazioni Write o Full Control per tale oggetto impostato nel descrittore di sicurezza. È anche possibile eseguire operazioni resourceSACL se si dispone del diritto utente Gestisci log di controllo e sicurezza (SeSecurityPrivilege).

Sintassi

auditpol /resourceSACL
[/set /type:<resource> [/success] [/failure] /user:<user> [/access:<access flags>]]
[/remove /type:<resource> /user:<user> [/type:<resource>]]
[/clear [/type:<resource>]]
[/view [/user:<user>] [/type:<resource>]]

Parametri

Parametro Descrizione
/set Aggiunge una nuova voce a o aggiorna una voce esistente nella risorsa SACL per il tipo di risorsa specificato.
/remove Rimuove tutte le voci per l'utente specificato nell'elenco di controllo dell'accesso agli oggetti globale.
/clear Rimuove tutte le voci dall'elenco di controllo dell'accesso agli oggetti globale.
/View Elenca le voci di controllo di accesso agli oggetti globali in una risorsa SACL. I tipi di utente e di risorsa sono facoltativi.
/? Visualizza la guida al prompt dei comandi.

Argomenti

Argomento Descrizione
/type Risorsa per cui è in corso la configurazione del controllo dell'accesso agli oggetti. I valori di argomento supportati, con distinzione tra maiuscole e minuscole, sono File (per directory e file) e Key (per le chiavi del Registro di sistema).
/success Specifica l'esito positivo del controllo.
/failure Specifica il controllo degli errori.
/User Specifica un utente in uno dei formati seguenti:
  • DomainName\Account (ad esempio DOM\Administrators)
  • StandaloneServer\Group Account (vedere funzione LookupAccountName)
  • {S-1-x-x-x-x} (x è espresso in decimale e l'intero SID deve essere racchiuso tra parentesi graffe). Ad esempio: {S-1-5-21-5624481-130208933-164394174-1001}

    Nota: Se viene utilizzato il modulo SID, non viene eseguito alcun controllo per verificare l'esistenza di questo account.

/access Specifica una maschera di autorizzazione che può essere specificata tramite:

Diritti di accesso generici, tra cui:

  • GA - GENERIC ALL
  • GR - LETTURA GENERICA
  • GW - SCRITTURA GENERICA
  • GX - GENERIC EXECUTE

Diritti di accesso per i file, tra cui:

  • FA - FILE ALL ACCESS
  • FR - FILE GENERIC READ
  • FW - SCRITTURA GENERICA FILE
  • FX - FILE GENERIC EXECUTE

Diritti di accesso per le chiavi del Registro di sistema, tra cui:

  • KA - KEY ALL ACCESS
  • KR - LETTURA CHIAVE
  • KW - SCRITTURA CHIAVE
  • KX - KEY EXECUTE

Ad esempio: /access:FRFW abilita gli eventi di controllo per le operazioni di lettura e scrittura.

Valore esadecimale che rappresenta la maschera di accesso, ad esempio 0x1200a9

Ciò è utile quando si usano maschere di bit specifiche delle risorse che non fanno parte dello standard SDDL (Security Descriptor Definition Language). Se omesso, viene usato l'accesso completo.

Esempio

Per impostare una risorsa globale SACL per controllare i tentativi di accesso riusciti da parte di un utente in una chiave del Registro di sistema:

auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success

Per impostare una risorsa globale SACL per controllare i tentativi riusciti e non riusciti da parte di un utente di eseguire funzioni di lettura e scrittura generiche su file o cartelle:

auditpol /resourceSACL /set /type:File /user:MYDOMAIN\myuser /success /failure /access:FRFW

Per rimuovere tutte le voci SACL di risorse globali per file o cartelle:

auditpol /resourceSACL /type:File /clear

Per rimuovere tutte le voci SACL di risorse globali per un determinato utente da file o cartelle:

auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001}

Per elencare le voci di controllo di accesso agli oggetti globali impostate su file o cartelle:

auditpol /resourceSACL /type:File /view

Per elencare le voci di controllo di accesso agli oggetti globali per un determinato utente impostato su file o cartelle:

auditpol /resourceSACL /type:File /view /user:MYDOMAIN\myuser

Riferimenti aggiuntivi