Использование: AuditPol /set /user[: | ][/include][/exclude /category: | ,: | . /success: | ][/failure: | /subcategory: | ...

Использование: AuditPol /set
       [/user[:<имя_пользователя>|<{SID}>][/include][/exclude]]
       [/category:<имя>|<{GUID}>[,:<имя>|<{GUID}>...]]
          [/success:|][/failure:|]
       [/subcategory:<имя>|<{GUID}>[,:<имя>|<{GUID}>...]]
          [/success:|][/failure:|]
       [/option:<имя_параметра> /value:|]


Установка текущей политики аудита.


Команды
  /?               Контекстная справка.
  /user            Субъект безопасности, для которого устанавливается
                   политика аудита по пользователям, заданная параметром
                   category или /subcategory. Необходимо задать либо
                   категорию, либо подкатегорию с помощью SID или по имени.
  /include         Указывается вместе с параметром /user, означает, что
                   политикой для данного пользователя создается аудит, даже
                   если он не указан политикой аудита системы. Этот параметр
                   используется по умолчанию и применяется автоматически, если
                   ни параметр /include, ни параметр /exclude не указаны явно.
  /exclude         Указывается вместе с параметром /user, означает, что
                   политикой для данного пользователя запрещается аудит,
                   независимо от параметров политики аудита системы. Этот
                   параметр не учитывается для членов локальной группы
                   "Администраторы".
  /category        Одна или несколько категорий аудита, заданные с помощью
                   GUID или по имени. Если пользователь не указан,
                   устанавливается политика системы.
  /subcategory     Одна или несколько категорий аудита, заданные с помощью
                   GUID или по имени. Если пользователь не указан,
                   устанавливается политика системы.
  /success         Установка успешного аудита. Этот параметр используется по
                   умолчанию и применяется автоматически, если ни параметр
                   /success, ни /failure не указаны явно. Этот параметр
                   следует использовать с параметром, разрешающим или
                   запрещающим его.
  /failure         Установка неудачного аудита. Этот параметр следует
                   использовать с параметром, разрешающим или запрещающим его.
  /option          Установка политики аудита для CrashOnAuditFail,
                   FullPrivilegeAuditing, AuditBaseObjects или
                   AuditBaseDirectories.
  /sd              Установка дескриптора безопасности, используемого для
                   делегирования доступа к политике аудита. Дескриптор
                   безопасности следует указывать с помощью SDDL. Дескриптору
                   безопасности должен быть назначен список DACL.


Пример:
  auditpol /set /user:domain\user /Category:"System" /success:enable /include
  auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /failure:disable
  auditpol /set /option:CrashOnAuditFail /value:enable
  auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)