auditpol set
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
ユーザーごとの監査ポリシー、システム監査ポリシー、または監査オプションを設定します。
per-user ポリシーと system ポリシーに対して set 操作を実行するには、セキュリティ記述子のそのオブジェクト セットの書き込みまたは フル コントロールのアクセス許可を持っている必要があります。 監査とセキュリティ ログの管理 (SeSecurityPrivilege) ユーザー権利を持っている場合は、set 操作を実行することもできます。 ただし、この権限では、全体的な set 操作を実行する必要がない追加のアクセスが許可されます。
構文
auditpol /set
[/user[:<username>|<{sid}>][/include][/exclude]]
[/category:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/subcategory:<name>|<{guid}>[,:<name|<{guid}> ]]
[/success:<enable>|<disable>][/failure:<enable>|<disable>]
[/option:<option name> /value: <enable>|<disable>]
パラメーター
| パラメーター | 説明 |
|---|---|
| /user | カテゴリまたはサブカテゴリによって指定されたユーザーごとの監査ポリシーが設定されているセキュリティ プリンシパル。 カテゴリまたはサブカテゴリ オプションは、セキュリティ識別子 (SID) または名前として指定する必要があります。 |
| /include | /user で指定します。システム監査ポリシーによって指定されていない場合でも、ユーザーごとのポリシーによって監査が生成されることを示します。 この設定は既定値であり、/include と /exclude のどちらのパラメーターも明示的に指定されていない場合に自動的に適用されます。 |
| /exclude | /user で指定します。ユーザーごとのポリシーによって、システム監査ポリシーに関係なく監査が抑制されることを示します。 ローカルの管理者グループのメンバーであるユーザーの場合、この設定は無視されます。 |
| /category | グローバル一意識別子 (GUID) または名前によって指定された 1 つ以上の監査カテゴリ。 ユーザーが指定されていない場合は、システム ポリシーが設定されます。 |
| /subcategory | GUID または名前で指定された 1 つ以上の監査サブカテゴリ。 ユーザーが指定されていない場合は、システム ポリシーが設定されます。 |
| /success | 成功の監査を指定します。 この設定は既定の設定であり、/success と /failure のどちらのパラメーターも明示的に指定されていない場合に自動的に適用されます。 この設定は、設定を有効にするか無効にするかを示すパラメーターと共に使用する必要があります。 |
| /failure | 失敗の監査を指定します。 この設定は、設定を有効にするか無効にするかを示すパラメーターと共に使用する必要があります。 |
| /option | CrashOnAuditFail、FullprivilegeAuditing、AuditBaseObjects、または Auditbaseobjects オプションの監査ポリシーを設定します。 |
| /sd | 監査ポリシーへのアクセスを委任するために使用されるセキュリティ記述子を設定します。 セキュリティ記述子は、セキュリティ記述子定義言語 (SDDL) を使用して指定する必要があります。 セキュリティ記述子には随意アクセス制御リスト (DACL) が必要です。 |
| /? | コマンド プロンプトにヘルプを表示します。 |
例
すべてのユーザーの成功した試行が監査されるように、ユーザーの詳細な追跡カテゴリの下にあるすべてのサブカテゴリについて、ユーザーごとの監査ポリシーを設定するには、次のように入力します。
auditpol /set /user:mikedan /category:detailed Tracking /include /success:enable
名前と GUID で指定されたカテゴリに対してユーザーごとの監査ポリシーを設定し、GUID によって指定されたサブカテゴリに対して、成功または失敗した試行の監査を抑制するには、次のように入力します。
auditpol /set /user:mikedan /exclude /category:Object Access,System,{6997984b-797a-11d9-bed3-505054503030}
/subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},:{0ccee9211-69ae-11d9-bed3-505054503030}, /success:enable /failure:enable
すべてのカテゴリについて、指定したユーザーについて、すべての監査ポリシーを設定するには、次のように入力します。
auditpol /set /user:mikedan /exclude /category:* /success:enable
詳細な追跡カテゴリのすべてのサブカテゴリについて、成功した試行のみの監査を含めるようにシステム監査ポリシーを設定するには、次のように入力します。
auditpol /set /category:detailed Tracking /success:enable
Note
エラーの設定は変更されません。
オブジェクト アクセスおよびシステム カテゴリ (サブカテゴリが一覧表示されているために暗黙的に使用される) と、失敗した試行を監査するために GUID によって指定されたサブカテゴリのシステム監査ポリシーを設定するには、次のように入力します。
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
監査オプションを CrashOnAuditFail オプションの有効状態に設定するには、次のように入力します。
auditpol /set /option:CrashOnAuditFail /value:enable