auditpol resourceSACL

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows 7 и Windows Server 2008 R2

Настраивает списки управления доступом глобальной системы ресурсов (SACLs).

Для выполнения операций resourceSACL необходимо иметь разрешения на запись или полный доступ для этого объекта, заданного в дескрипторе безопасности. Вы также можете выполнять операции resourceSACL , если у вас есть право пользователя "Управление аудитом и безопасностью " (SeSecurityPrivilege).

Синтаксис

auditpol /resourceSACL
[/set /type:<resource> [/success] [/failure] /user:<user> [/access:<access flags>]]
[/remove /type:<resource> /user:<user> [/type:<resource>]]
[/clear [/type:<resource>]]
[/view [/user:<user>] [/type:<resource>]]

Параметры

Параметр Описание
/Установить Добавляет новую запись или обновляет существующую запись в saCL ресурса для указанного типа ресурса.
/remove Удаляет все записи для данного пользователя в списке аудита доступа к глобальному объекту.
/Ясно Удаляет все записи из списка аудита доступа к глобальному объекту.
/Вид Выводит список записей аудита доступа к глобальному объекту в saCL ресурса. Типы пользователей и ресурсов являются необязательными.
/? Отображение справки в командной строке.

Аргументы

Аргумент Description
/Тип Ресурс, для которого настраивается аудит доступа к объектам. Поддерживаемые, чувствительные к регистру значения аргументов: File (для каталогов и файлов) и Раздел (для разделов реестра).
/Успех Указывает аудит успешности.
/Сбоя Указывает аудит сбоев.
/user Указывает пользователя в одной из следующих форм:
  • DomainName\Account (например, DOM\Администратор istrator)
  • Автономная учетная записьServer\Group (см . функцию LookupAccountName)
  • {S-1-x-x-x-x-x} (x выражается в десятичном формате, и весь идентификатор безопасности должен быть заключен в фигурные скобки). Например: {S-1-5-21-562481-130208933-164394174-1001}

    Примечание. Если используется форма БЕЗОПАСНОСТИ, проверка не выполняется для проверки существования этой учетной записи.
/Доступа Указывает маску разрешений, которую можно указать с помощью:

Универсальные права доступа, в том числе:

  • GA — GENERIC ALL
  • GR — УНИВЕРСАЛЬНОЕ ЧТЕНИЕ
  • GW — УНИВЕРСАЛЬНАЯ ЗАПИСЬ
  • GX — GENERIC EXECUTE

Права доступа к файлам, включая следующие:

  • FA — ФАЙЛ ALL ACCESS
  • FR — УНИВЕРСАЛЬНОЕ ЧТЕНИЕ ФАЙЛОВ
  • FW — УНИВЕРСАЛЬНАЯ ЗАПИСЬ ФАЙЛОВ
  • FX — УНИВЕРСАЛЬНОЕ ВЫПОЛНЕНИЕ ФАЙЛА

Права доступа к разделам реестра, в том числе:

  • KA — КЛЮЧ ВСЕХ ДОСТУПА
  • KR — ЧТЕНИЕ КЛЮЧА
  • KW — ЗАПИСЬ КЛЮЧА
  • KX — КЛЮЧ EXECUTE

Например, /access:FRFW включает события аудита для операций чтения и записи.

Шестнадцатеричное значение, представляющее маску доступа (например, 0x1200a9)

Это полезно при использовании маски для определенных ресурсов, которые не являются частью стандарта языка определения дескриптора безопасности (SDDL). Если опущено, используется полный доступ.

Примеры

Чтобы задать глобальный ресурс SACL для аудита успешных попыток доступа пользователем в разделе реестра:

auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success

Чтобы задать глобальный ресурс SACL для аудита успешных и неудачных попыток пользователя выполнять универсальные функции чтения и записи в файлах или папках:

auditpol /resourceSACL /set /type:File /user:MYDOMAIN\myuser /success /failure /access:FRFW

Чтобы удалить все записи SACL глобального ресурса для файлов или папок:

auditpol /resourceSACL /type:File /clear

Чтобы удалить все записи SACL глобального ресурса для конкретного пользователя из файлов или папок:

auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001}

Чтобы перечислить записи аудита доступа к глобальному объекту, заданные в файлах или папках:

auditpol /resourceSACL /type:File /view

Чтобы получить список записей аудита доступа к глобальному объекту для определенного пользователя, установленного в файлах или папках:

auditpol /resourceSACL /type:File /view /user:MYDOMAIN\myuser