auditpol resourceSACL

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows 7 和 Windows Server 2008 R2

設定全域資源系統存取控制清單 (SACL)。

若要執行 resourceSACL 操作,您必須對安全描述符中設定的該物件具有寫入或完全控制權限。 如果您具有管理稽核和安全性日誌 (SeSecurityPrivilege) 使用者權限,您也可以執行 resourcesSACL 操作。

語法

auditpol /resourceSACL
[/set /type:<resource> [/success] [/failure] /user:<user> [/access:<access flags>]]
[/remove /type:<resource> /user:<user> [/type:<resource>]]
[/clear [/type:<resource>]]
[/view [/user:<user>] [/type:<resource>]]

參數

參數 描述
/set 為指定資源類型的資源 SACL 新增條目或更新現有條目。
/remove 刪除全域物件存取稽核清單中給定使用者的所有項目。
/clear 從全域物件存取稽核清單中刪除所有條目。
/view 列出資源 SACL 中的全域物件存取稽核條目。 使用者和資源類型是可選的。
/? 在命令提示字元顯示說明。

引數

Argument 描述
/type 正在配置物件存取稽核的資源。 支援的、區分大小寫的參數值是 File(對於目錄和檔案)Key(對於註冊表項)。
/success 指定成功審核。
/failure 指定失敗審核。
/user 採用以下形式之一指定使用者:
  • 網域名稱\帳戶(例如 DOM\管理員)
  • StandaloneServer\Group Account(請參閱 LookupAccountName 函數
  • {S-1-x-x-x-x}(x 以十進位表示,整個 SID 必須用大括號括起來)。 例如:{S-1-5-21-5624481-130208933-164394174-1001}

    注意:如果使用 SID 表單,則不會進行檢查以驗證此帳戶是否存在。
/access 指定可以透過以下方式指定的權限遮罩:

泛型存取權限,包括:

  • GA - 泛型所有
  • GR - 泛型讀取
  • GW - 泛型寫入
  • GX - 泛型執行

檔案的存取權限,包括:

  • FA - 檔案所有存取
  • FR - 檔案泛型讀取
  • FW - 檔案泛型寫入
  • FX - 檔案泛型執行

註冊表項的存取權限,包括:

  • KA - 金鑰所有存取
  • KA - 金鑰讀取
  • KA - 金鑰寫入
  • KA - 金鑰執行

例如:/access:FRFW啟用讀寫操作的稽核事件。

表示存取遮罩的十六進位值(例如 0x1200a9)

當使用不屬於安全描述符定義語言 (SDDL) 標準的特定於資源的位元遮罩時,這非常有用。 如果省略,則使用完全存取權限。

範例

若要設定全域資源 SACL 以稽核使用者對註冊碼的成功存取嘗試:

auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success

若要設定全域資源 SACL 以稽核使用者對檔案或資料夾執行泛型讀取和寫入功能的成功和失敗嘗試:

auditpol /resourceSACL /set /type:File /user:MYDOMAIN\myuser /success /failure /access:FRFW

若要刪除檔案或資料夾的所有全域資源 SACL 條目:

auditpol /resourceSACL /type:File /clear

若要從檔案或資料夾中刪除特定使用者的所有全域資源 SACL 條目:

auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001}

列出在檔案或資料夾上設定的全域物件存取稽核條目:

auditpol /resourceSACL /type:File /view

列出在文件或資料夾上設定的特定使用者的全域物件存取稽核條目:

auditpol /resourceSACL /type:File /view /user:MYDOMAIN\myuser