auditpol resourceSACL

  • 项目

适用于:Windows Server 2022、Windows Server 2019、Windows 7 和 Windows Server 2008 R2

配置全局资源系统访问控制列表 (SACL)。

若要执行 resourceSACL 操作,必须在安全描述符中设置对该对象的“写入”或“完全控制”权限。 如果你拥有“管理审核和安全日志”(SeSecurityPrivilege) 用户权限,则也可以执行 resourceSACL 操作。

语法

auditpol /resourceSACL
[/set /type:<resource> [/success] [/failure] /user:<user> [/access:<access flags>]]
[/remove /type:<resource> /user:<user> [/type:<resource>]]
[/clear [/type:<resource>]]
[/view [/user:<user>] [/type:<resource>]]

参数

参数 说明
/设置 为指定资源类型向资源 SACL 添加新条目或更新现有条目。
/remove 删除全局对象访问审核列表中给定用户的所有条目。
/clear 从全局对象访问审核列表中删除所有条目。
/view 列出资源 SACL 中的全局对象访问审核条目。 用户和资源类型是可选的。
/? 在命令提示符下显示帮助。

参数

Argument 说明
/type 正在为其配置对象访问审核的资源。 支持的区分大小写的参数值是 File(针对目录和文件)和 Key(针对注册表项)。
/success 指定成功审核。
/failure 指定失败审核。
/user 以下列形式之一指定用户:
  • DomainName\Account(例如 DOM\Administrators)
  • StandaloneServer\Group Account(请参阅 LookupAccountName 函数
  • {S-1-x-x-x-x}(x 以十进制表示,整个 SID 必须用大括号括起来)。 例如:{S-1-5-21-5624481-130208933-164394174-1001}

    注意:如果使用 SID 表单,则不会执行任何检查来验证此帐户是否存在。
/access 指定可通过以下方式指定的权限掩码:

泛型访问权限,包括:

  • GA - 泛型完全访问
  • GR - 泛型读取
  • GW - 泛型写入
  • GE - 泛型执行

文件的访问权限,包括:

  • FA - 文件完全访问
  • FR - 文件泛型读取
  • FW - 文件泛型写入
  • FX - 文件泛型执行

注册表项的访问权限,包括:

  • KA - 注册表项完全访问
  • KR - 注册表项读取
  • KW - 注册表项写入
  • KX - 注册表项执行

例如:/access:FRFW 为读取和写入操作启用审核事件。

表示访问掩码的十六进制值(例如 0x1200a9)

这在使用不属于安全描述符定义语言 (SDDL) 标准的特定于资源的位掩码时非常有用。 如果省略,则使用完全访问权限。

示例

设置全局资源 SACL 以审核用户对注册表项的成功访问尝试:

auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success

设置全局资源 SACL,以审核用户对文件或文件夹执行泛型读取和写入函数的成功和失败尝试:

auditpol /resourceSACL /set /type:File /user:MYDOMAIN\myuser /success /failure /access:FRFW

删除文件或文件夹的所有全局资源 SACL 条目:

auditpol /resourceSACL /type:File /clear

从文件或文件夹中删除特定用户的所有全局资源 SACL 条目:

auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001}

列出在文件或文件夹上设置的全局对象访问审核条目:

auditpol /resourceSACL /type:File /view

列出在文件或文件夹上设置的特定用户的全局对象访问审核条目:

auditpol /resourceSACL /type:File /view /user:MYDOMAIN\myuser