auditpol resourceSACL

適用対象: Windows Server 2022、Windows Server 2019、Windows 7、Windows Server 2008 R2

グローバル リソース システムのアクセス制御リスト (SACL) を構成します。

resourceSACL 操作を実行するには、そのオブジェクト セットの書き込みまたはフル コントロールのアクセス許可がセキュリティ記述子で設定されている必要があります。 監査とセキュリティ ログの管理 (SeSecurityPrivilege) ユーザー権限を持っている場合は、resourceSACL 操作を実行することもできます。

構文

auditpol /resourceSACL
[/set /type:<resource> [/success] [/failure] /user:<user> [/access:<access flags>]]
[/remove /type:<resource> /user:<user> [/type:<resource>]]
[/clear [/type:<resource>]]
[/view [/user:<user>] [/type:<resource>]]

パラメーター

パラメーター 説明
/set 指定されたリソースの種類について、リソースの SACL 内で新規エントリを追加、または既存のエントリを更新します。
/remove グローバル オブジェクト アクセスの監査リストから、指定されたユーザーのすべてのエントリを削除します。
/clear グローバル オブジェクト アクセスの監査リストから、すべてのエントリを削除します。
/view リソース SACL のグローバル オブジェクト アクセスの監査エントリを一覧表示します。 ユーザーおよびリソースの種類は省略可能です。
/? コマンド プロンプトにヘルプを表示します。

引数

引数 説明
/type オブジェクト アクセス監査を構成する対象のリソース。 サポートされている大文字と小文字を区別する引数の値は、"ファイル" (ディレクトリおよびファイルの場合) と "キー" (レジストリ キーの場合) です。
/success 成功の監査を指定します。
/failure 失敗の監査を指定します。
/user 次のいずれかの形式のユーザーで指定します。
  • ドメイン名\アカウント (DOM\Administrators など)
  • スタンドアロン サーバー\グループ アカウント (「LookupAccountName 関数」を参照)
  • {S-1-x-x-x-x} (x は 10 進数で、SID 全体は中かっこで囲む必要があります)。 例: {S-1-5-21-5624481-130208933-164394174-1001}

    注: SID フォームが使用されている場合、このアカウントの存在を確認するためのチェックは行われません。

/access 以下で指定できるアクセス許可マスクを指定します。

一般的なアクセス権 (次のものを含む):

  • GA - 一般すべて
  • GR - 一般読み取り
  • GW - 一般書き込み
  • GX - 一般実行

ファイルのアクセス権 (次のものを含む):

  • FA - すべてのファイルへのアクセス
  • FR - ファイルの一般読み取り
  • FW - ファイルの一般書き込み
  • FX - ファイルの一般実行

レジストリ キーのアクセス権 (次のものを含む):

  • KA - すべてのアクセス キー
  • KR - 読み取りキー
  • KW - 書き込みキー
  • KX - 実行キー

たとえば、/access:FRFW は読み取りおよび書き込み操作の監査イベントを有効にします。

アクセス マスクを表す 16 進数の値 (0x1200a9 など)

これは、セキュリティ記述子定義言語 (SDDL) 標準の一部ではないリソース固有のビット マスクを使用する場合に便利です。 省略した場合は、フル アクセスが使用されます。

グローバル リソース SACL を設定し、ユーザーによるレジストリ キーへのアクセス (成功) を監査するには、次のようにします。

auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success

グローバル リソース SACL を設定し、ユーザーによるファイルまたはフォルダーに対する一般的な読み取りおよび書き込み関数の実行 (成功および失敗) を監査するには、次のようにします。

auditpol /resourceSACL /set /type:File /user:MYDOMAIN\myuser /success /failure /access:FRFW

ファイルまたはフォルダーのグローバル リソース SACL エントリをすべて削除するには、次のようにします。

auditpol /resourceSACL /type:File /clear

ファイルまたはフォルダーから特定のユーザーのグローバル リソース SACL エントリをすべて削除するには、次のようにします。

auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001}

ファイルまたはフォルダーに設定されたグローバル オブジェクト アクセス監査エントリを一覧表示するには、次のようにします。

auditpol /resourceSACL /type:File /view

ファイルまたはフォルダーに設定されている特定のユーザーのグローバル オブジェクト アクセス監査エントリを一覧表示するには、次のようにします。

auditpol /resourceSACL /type:File /view /user:MYDOMAIN\myuser

その他のリファレンス