使用法: AuditPol /resourceSACL /set /type: /success /failure /user: /access: /condition: /remove /type: /user: /type: /clear ...

使用法: AuditPol /resourceSACL
       [/set /type:<リソース> [/success] [/failure] /user:<ユーザー>
         [/access:<アクセス フラグ>] [/condition:<式>]]
       [/remove /type:<リソース> /user:<ユーザー> [/type:<リソース>]]
       [/clear [/type:<リソース>]]
       [/view [/user:<ユーザー>] [/type:<リソース>]]


このコマンドはグローバル オブジェクト アクセスの監査の設定を構成します。
イベントがシステムによって生成されるためには、対応するオブジェクト アクセス
サブカテゴリを有効にする必要があります。詳細については、「auditpol /set /?」を
入力してください。


コマンド
  /?            コマンドのヘルプを表示します。
  /set          指定したリソースの種類のリソース システム アクセス制御リストに
                新規エントリを追加する、または既存のエントリを更新します。
  /remove       指定したユーザーのすべてのエントリをリソースの種類で指定
                したグローバル オブジェクト アクセス監査リストから削除
                します。
  /clear        指定したリソースの種類のグローバル オブジェクト アクセス
                監査リストからすべてのエントリを削除します。
  /view         指定したリソースの種類とユーザーのグローバル オブジェクト
                アクセス監査のエントリを一覧表示します。ユーザーの指定
                はオプションです。


引数


/type           オブジェクト アクセス監査を構成するリソース。
                サポートされる引数値は File と Key です。これらの値では
                大文字と小文字が区別されることに注意してください。
                File: ディレクトリとファイル。
                Key: レジストリ キー。
/success        成功の監査を指定します。
/failure        失敗の監査を指定します。
/user           ユーザーを次のいずれかの形式で指定します。
                - ドメイン名\アカウント (例: DOM\Administrators)
                - スタンドアロン サーバー\グループ
                - アカウント (LookupAccountName API を参照)
                - {S-1-x-x-x-x}。x は 10 進数表記です。
                  また、SID 全体を中かっこで囲む必要があります。
                  例: {S-1-5-21-5624481-130208933-164394174-1001}
                  警告: SID 形式を使用する場合、アカウントが存在するかどうかの
                  チェックは行われません。
/access         アクセス許可は、次の 2 種類のいずれかの形式で指定
                できます。
                - 単一の権限を連続して指定する:
                  汎用的なアクセス権:
                    GA - 汎用すべて
                    GR - 汎用読み取り
                    GW - 汎用書き込み
                    GX - 汎用実行
                  ファイルのアクセス権:
                    FA - ファイルへのすべてのアクセス
                    FR - ファイルの汎用読み取り
                    FW - ファイルへの汎用書き込み
                    FX - ファイルの汎用実行
                  レジストリ キーのアクセス権:
                    KA - キーへのすべてのアクセス
                    KR - キーの読み取り
                    KW - キーへの書き込み
                    KX - キーの実行
                  例: '/access:FRFW' を実行すると監査イベントの読み取りと
                  書き込みの操作が可能になります。
                - 16 進数の値はアクセス マスク (例: 0x1200a9) を示します。
                  これは、SDDL 標準に含まれないリソース固有のビット マスクを
                  使用する場合に有用です。省略した場合は、フル アクセスが
                  使用されます。
/condition      次のような属性に基づく式を追加します。
                ドキュメントの秘密度は HBI です ("High")
                "(@Resource.Sensitivity == \"High\")"



例:


  auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success
  auditpol /resourceSACL /set /type:File /user:MYDOMAIN\myuser /success
    /failure /access:FRFW
  auditpol /resourceSACL /set /type:File /user:everyone /success
    /failure /access:FRFW /condition:"(@Resource.Sensitivity == \"High\")"
  auditpol /resourceSACL /type:File /clear
  auditpol /resourceSACL /remove /type:File
    /user:{S-1-5-21-56248481-1302087933-1644394174-1001}
  auditpol /resourceSACL /type:File /view
  auditpol /resourceSACL /type:File /view /user:MYDOMAIN\myuser