| 0x1001 | Utilisation : Commande AuditPol []%nCommandes (une seule commande autorisée par exécution) /? Aide (contextuelle) /get Affiche la stratégie d’audit actuelle. /set Définit la stratégie d’audit. /list Affiche les éléments de stratégie sélectionnables. /backup Enregistre une stratégie d’audit dans un fichier. /restore Restaure une stratégie d’audit à partir d’un fichier. /clear Efface une stratégie d’audit. /remove Supprime une stratégie d’audit par utilisateur pour un compte d’utilisateur. /resourceSACL Configure les listes SACL de ressource globale.%nUtilisez AuditPol /? pour obtenir des détails sur chaque commande |
Usage: AuditPol command []%nCommands (only one command permitted per execution) /? Help (context-sensitive) /get Displays the current audit policy. /set Sets the audit policy. /list Displays selectable policy elements. /backup Saves the audit policy to a file. /restore Restores the audit policy from a file. /clear Clears the audit policy. /remove Removes the per-user audit policy for a user account. /resourceSACL Configure global resource SACLs%nUse AuditPol /? for details on each command |
| 0x1002 | Utilisation : AuditPol /get [/user[:|]] [/category:*||[,:|...]] [/subcategory:|[,:|...]] [/option:] [/sd] [/r]%nCette commande affiche la stratégie d’audit actuelle.%nCommandes /? Aide (contextuelle) /user Principal de sécurité pour lequel la stratégie d’audit par utilisateur est interrogée. L’option /category ou /subcategory doit être spécifiée. L’utilisateur peut être spécifié sous la forme d’un SID ou d’un nom. Si aucun compte d’utilisateur n’est spécifié, alors la stratégie d’audit système est interrogée. /category Une ou plusieurs catégories d’audit spécifiées par GUID ou par nom. Un astérisque (« * ») peut servir à indiquer que toutes les catégories d’audit doivent être interrogées. /subcategory Une ou plusieurs sous-catégories d’audit spécifiées par GUID ou par nom. /sd Récupère le descripteur de sécurité servant à déléguer l’accès à la stratégie d’audit. /option Récupérer la stratégie existante pour CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects ou AuditBaseDirectories. /r Afficher le résultat sous un format de rapport (CSV).%nExemple d’utilisation : auditpol /get /user:domain\\user /Category:\"Suivi détaillé\",\"Accès aux objets\" auditpol /get /Subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /r auditpol /get /option:CrashOnAuditFail auditpol /get /user:{S-1-5-21-397123417-1234567} /Category:\"Système\" auditpol /get /sd |
Usage: AuditPol /get [/user[:|]] [/category:*||[,:|...]] [/subcategory:|[,:|...]] [/option:] [/sd] [/r]%nThis command displays the current audit policy.%nCommands /? Help (context-sensitive) /user The security principal for whom the per-user audit policy is queried. Either the /category or /subcategory option must be specified. The user may be specified as a SID or name. If no user account is specified, then the system audit policy is queried. /category One or more audit categories specified by GUID or name. An asterisk (\"*\") may be used to indicate that all audit categories should be queried. /subcategory One or more audit subcategories specified by GUID or name. /sd Retrieves the security descriptor used to delegate access to the audit policy. /option Retrieve existing policy for CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects or AuditBaseDirectories. /r Display the output in report (CSV) format.%nSample usage: auditpol /get /user:domain\\user /Category:\"Detailed Tracking\",\"Object Access\" auditpol /get /Subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /r auditpol /get /option:CrashOnAuditFail auditpol /get /user:{S-1-5-21-397123417-1234567} /Category:\"System\" auditpol /get /sd |
| 0x1003 | Utilisation : AuditPol /set [/user[:|][/include][/exclude]] [/category:|[,:|...]] [/success:|][/failure:|] [/subcategory:|[,:|...]] [/success:|][/failure:|] [/option: /value:|]%nCette commande définit la stratégie d’audit actuelle.%nCommandes /? Aide (contextuelle) /user Principal de sécurité pour lequel une stratégie d’audit par utilisateur spécifiée par une catégorie/sous-catégorie est définie. L’option de catégorie ou de sous-catégorie doit être spécifiée, sous forme de SID ou de nom. /include Spécifiée avec /user ; indique que la stratégie par utilisateur de l’utilisateur entraîne une génération d’audit, même si cela n’est pas spécifié par la stratégie d’audit système. Ce paramètre constitue celui par défaut et il est automatiquement appliqué si aucune des options /include ou /exclude ne sont explicitement spécifiées. /exclude Spécifiée avec /user ; indique que la stratégie par utilisateur de l’utilisateur entraînera la suppression de l’audit, quelle que soit la stratégie d’audit système. Ce paramètre n’est pas honoré pour les utilisateurs membres du groupe local Administrateurs. /category Une ou plusieurs catégories d’audit spécifiées par GUID ou nom. Si aucun utilisateur n’est spécifié, une stratégie système est définie. /subcategory Une ou plusieurs sous-catégories d’audit spécifiées par un GUID ou un nom. Si aucun utilisateur n’est spécifié, une stratégie système est définie. /success Spécifie un audit de réussite. Ce paramètre constitue celui par défaut et il est automatiquement appliqué si aucune des options /success ou /failure ne sont explicitement spécifiées. Ce paramètre doit être utilisé avec un paramètre indiquant s’il convient d’activer ou de désactiver le paramètre. /failure Spécifie un audit d’échec. Ce paramètre doit être utilisé avec un paramètre indiquant s’il convient d’activer ou de désactiver le paramètre. /option Définir la stratégie d’audit pour CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects ou AuditBaseDirectories. /sd Définit le descripteur de sécurité servant à déléguer l’accès à la stratégie d’audit. Le descripteur de sécurité doit être spécifié avec SDDL. Il doit posséder une liste DACL.%nExemple : auditpol /set /user:domaine\\utilisateur /Category:\"Système\" /success:enable /include auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /failure:disable auditpol /set /option:CrashOnAuditFail /value:enable auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY) |
Usage: AuditPol /set [/user[:|][/include][/exclude]] [/category:|[,:|...]] [/success:|][/failure:|] [/subcategory:|[,:|...]] [/success:|][/failure:|] [/option: /value:|]%nThis command sets the current audit policy.%nCommands /? Help (context-sensitive) /user The security principal for whom per-user audit policy specified by the category/subcategory is set. Either the category or subcategory option must be specified, as a SID or name. /include Specified with /user; indicates that user's per-user policy will cause audit to be generated even if not specified by the system audit policy. This setting is the default and is automatically applied if neither the /include nor /exclude options are explicitly specified. /exclude Specified with /user; indicates that the user's per-user policy will cause audit to be suppressed regardless of the system audit policy. This setting is not honored for users who are members of the Administrators local group. /category One or more audit categories specified by GUID or name. If no user is specified, the system policy is set. /subcategory One or more audit subcategories specified by GUID or name. If no user is specified, system policy is set. /success Specifies success auditing. This setting is the default and is automatically applied if neither the /success nor /failure options are explicitly specified. This setting must be used with a parameter indicating whether to enable or disable the setting. /failure Specifies failure auditing. This setting must be used with a parameter indicating whether to enable or disable the setting. /option Set the audit policy for CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects or AuditBaseDirectories. /sd Sets the security descriptor used to delegate access to the audit policy. The security descriptor must be specified using SDDL. The security descriptor must have a DACL.%nExample: auditpol /set /user:domain\\user /Category:\"System\" /success:enable /include auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /failure:disable auditpol /set /option:CrashOnAuditFail /value:enable auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY) |
| 0x1004 | Utilisation : AuditPol /list [/user|/category|/subcategory[:||*] [/v] [/r]%nCette commande répertorie les catégories et sous-catégories de stratégied’audit ou les utilisateurs pour lesquels une stratégie d’auditpar utilisateur est définie.%nCommandes /? Aide (contextuelle) /user Récupère tous les utilisateurs pour lesquels une stratégie d’audit a été définie. Utilisé avec l’option /v, le SID de l’utilisateur est également affiché. /category Affiche les noms des catégories comprises par le système. Utilisé avec l’option /v, le GUID de la catégorie est également affiché. /subcategory Affiche les noms de sous-catégorie compris par le système, pour les sous-catégories d’une catégorie spécifiée. Les GUID de sous-catégorie sont également affichés si l’option /v est utilisée.%nExemple : auditpol /list /user auditpol /list /category /v auditpol /list /subcategory:\"Suivi détaillé\",\"Accès aux objets\" |
Usage: AuditPol /list [/user|/category|/subcategory[:||*] [/v] [/r]%nThis command lists audit policy categories, subcategories, or lists users forwhom per-user audit policy is defined.%nCommands /? Help (context-sensitive) /user Retrieves all users for whom per-user audit policy has been defined. If used with the /v option, the sid of the user is also displayed. /category Displays the names of categories understood by the system. If used with the /v option, the category GUID is also displayed. /subcategory Displays the names of subcategories understood by the system, for subcategories in a specified category. The subcategory GUIDs are also displayed if the /v option is used.%nExample: auditpol /list /user auditpol /list /category /v auditpol /list /subcategory:\"Detailed Tracking\",\"Object Access\" |
| 0x1005 | Utilisation : AuditPol /clear [/y]Cette commande supprime la stratégie d’audit par utilisateur de tous lesutilisateurs, redéfinit une stratégie d’audit système pour toutes les sous-catégories et définit l’ensemble des options d’audit comme désactivées.%nOptions /? Aide (contextuelle). /y Supprime le message de confirmation d’effacement de l’ensemble de la stratégie d’audit.%nExemple : auditpol /clear auditpol /clear /y |
Usage: AuditPol /clear [/y]This command deletes per-user audit policy for all users, resets systemaudit policy for all subcategories and sets all the auditing options to disabled.%nOptions /? Help (context-sensitive). /y Suppresses the prompt to confirm if all the audit policy should be cleared.%nExample: auditpol /clear auditpol /clear /y |
| 0x1006 | Utilisation : AuditPol /remove [/user[:|]] [/allusers]%nCette commande supprime la stratégie par utilisateur pour un compte donné.%nOptions /? Aide (contextuelle). /user Spécifie le SID ou le nom d’utilisateur de l’utilisateur pour lequel la stratégie d’audit par utilisateur doit être supprimée. /allusers Supprime la stratégie d’audit par utilisateur pour tous les utilisateurs.%nExemple : auditpol /remove /user:{S-1-5-21-397123417-1234567} auditpol /remove /allusers |
Usage: AuditPol /remove [/user[:|]] [/allusers]%nThis command removes per-user audit policy for a specified account.%nOptions /? Help (context-sensitive). /user Specifies the SID or user name for the user for whom per-user audit policy is to be deleted /allusers Deletes per-user audit policy for all users.%nExample: auditpol /remove /user:{S-1-5-21-397123417-1234567} auditpol /remove /allusers |
| 0x1007 | Utilisation : AuditPol /backup /file:%nCette commande sauvegarde des paramètres de stratégie d’audit système et desparamètres de stratégie d’audit par utilisateur pour tous les utilisateurs ettoutes les options d’audit dans un fichier. La sauvegarde est inscrite dansun fichier au format CSV.%nOptions /? Aide (contextuelle). /file Spécifie le nom du fichier dans lequel la stratégie d’audit doit être sauvegardée.%nExemple : auditpol /backup /file:c:\\stratégieaudit.csv |
Usage: AuditPol /backup /file:%nThis command backs up system audit policy settings and per-user audit policysettings for all users and all auditing options into a file. The backup willbe written to a CSV-formatted text file.%nOptions /? Help (context-sensitive). /file Specifies the name of the file to which the audit policy will be backed-up.%nExample: auditpol /backup /file:c:\\auditpolicy.csv |
| 0x1008 | Utilisation : AuditPol /restore /file:%nCette commande restaure des paramètres de stratégie d’audit système, desparamètres de stratégie d’audit par utilisateur pour tous les utilisateurset toutes les options d’audit à partir d’un fichier créé avecla commande /backup.%nOptions /? Aide (contextuelle). /file Spécifie le fichier à partir duquel la stratégie d’audit doit être lue. Ce fichier doit avoir été créé avec l’option /backup ou doit être cohérent d’un point de vue syntaxique avec ce format de fichier.%nExemple : auditpol /restore /file:c:\\stratégieaudit.csv |
Usage: AuditPol /restore /file:%nThis command restores system audit policy settings, per-user audit policysettings for all users and all auditing options from a file created with the/backup command.%nOptions /? Help (context-sensitive). /file Specifies the file where the audit policy should be read from. The file must have been created by the /backup option or must be syntactically consistent with that file format.%nExample: auditpol /restore /file:c:\\auditpolicy.csv |
| 0x1009 | Utilisation : AuditPol /resourceSACL [/set /type: [/success] [/failure] /user: [/access:] [/condition:]] [/remove /type: /user: [/type:]] [/clear [/type:]] [/view [/user:] [/type:]]%nCette commande configure les paramètres d’audit de l’accès global aux objets.La sous-catégorie d’accès aux objets correspondante doit être activée pour lesévénements que le système doit générer. Tapez auditpol /set /? Pour plusd’informations.%nCommandes /? Affiche de l’aide pour la commande. /set Ajoute une nouvelle entrée ou met à jour une entrée existante dans la liste de contrôle d’accès au système de ressources pour le type de ressource spécifié. /remove Supprime toutes les entrées pour l’utilisateur donné dans la liste d’audit de l’accès aux objets globaux spécifiée par le type de ressource. /clear Supprime toutes les entrées de la liste d’audit de l’accès aux objets globaux pour le type de ressource spécifié. /view Répertorie les entrées d’audit de l’accès aux objets globaux pour l’utilisateur et le type de ressource spécifiés. La spécification d’un utilisateur est facultative.%nArguments%n/type Ressource pour laquelle l’audit de l’accès aux objets est configuré. Les valeurs d’arguments prises en charge sont File et Key. Notez que ces valeurs respectent la casse. File : répertoires et fichiers. Key : clés du Registre./success Indique la réussite de l’audit./failure Indique l’échec de l’audit./user Spécifie un utilisateur dans l’une des formes suivantes : - NomDomaine\\Compte (ex : DOM\\Administrateurs) - ServeurAutonome\\Groupe - Compte (voir API LookupAccountName) - {S-1-x-x-x-x}. x est exprimée sous forme décimale et le SID complet doit être entre accolades. Par exemple: {S-1-5-21-5624481-130208933-164394174-1001} Avertissement : dans ce cas, l’existence de ce compte n’est pas vérifiée./access Indique un masque d’autorisation qui peut être spécifié sous l’une des deux formes suivantes : - Séquence de droits simples : Droits d’accès génériques : GA - Générique pour tout GR - Lecture générique GW - Écriture générique GX - Exécution générique Droitrs d’accès pour les fichiers : FA - Accès complet aux fichiers FR - Lecture générique des fichiers FW - Écriture générique des fichiers FX - Exécution générique des fichiers Droits d’accès au Registre : KA - Accès complet aux clés KR - Lecture des clés KW - Écriture des clés KX - Exécution des clés Par exemple : \" /access:FRFW \" autorisera les événements d’audit pour les opérations de lecture et d’écriture. - Valeur hexadécimale représentant le masque d’accès (par exemple 0x1200a9). Elle s’avère utile en cas d’utilisation de masques de bits spécifiques de la ressource étrangers à la norme SDDL. Si elle est omise, l’accès complet est utilisé./condition Ajoute une expression basée sur des attributs, par exemple : Confidentialité très élevée du document (\"Haute\") \"(@Resource.Sensitivity == \\\"Haute\\\")\"%nExemples :%n auditpol /resourceSACL /set /type:Key /user:MONDOMAINE\\mon_utilisateur /success auditpol /resourceSACL /set /type:File /user:MONDOMAINE\\mon_utilisateur /success /failure /access:FRFW auditpol /resourceSACL /set /type:File /user:toutlemonde /success /failure /access:FRFW /condition:\"(@Resource.Sensitivity == \\\"Haute\\\")\" auditpol /resourceSACL /type:File /clear auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001} auditpol /resourceSACL /type:File /view auditpol /resourceSACL /type:File /view /user:MONDOMAINE\\mon_utilisateur |
Usage: AuditPol /resourceSACL [/set /type: [/success] [/failure] /user: [/access:] [/condition:]] [/remove /type: /user: [/type:]] [/clear [/type:]] [/view [/user:] [/type:]]%nThis command configures settings for global object access auditing. Thecorresponding object access subcategory needs to be enabled for the eventsto be generated by the system. Type auditpol /set /? for more information.%nCommands /? Displays Help for the command. /set Adds a new entry to or updates an existing entry in the resource system access control list for the resource type specified. /remove Removes all entries for the given user from the global object access auditing list specified by the resource type. /clear Removes all entries from the global object access auditing list for the specified resource type. /view Lists the global object access auditing entries for the specified resource type and user. Specifying a user is optional.%nArguments%n/type The resource for which object access auditing is being configured. The supported argument values are File and Key. Note that these values are case sensitive. File: Directories and files. Key: Registry keys./success Specifies success auditing./failure Specifies failure auditing./user Specifies a user in one of the following forms: - DomainName\\Account (such as DOM\\Administrators) - StandaloneServer\\Group - Account (see LookupAccountName API) - {S-1-x-x-x-x}. x is expressed in decimal, and the entire SID must be enclosed in curly braces. For example: {S-1-5-21-5624481-130208933-164394174-1001} Warning: If SID form is used, no check is done to verify the existence of this account./access Specifies a permission mask that can be specified in one of two forms: - A sequence of simple rights: Generic access rights: GA - GENERIC ALL GR - GENERIC READ GW - GENERIC WRITE GX - GENERIC EXECUTE Access rights for files: FA - FILE ALL ACCESS FR - FILE GENERIC READ FW - FILE GENERIC WRITE FX - FILE GENERIC EXECUTE Access rights for registry keys: KA - KEY ALL ACCESS KR - KEY READ KW - KEY WRITE KX - KEY EXECUTE For example: '/access:FRFW' will enable audit events for read and write operations. - A hex value representing the access mask (such as 0x1200a9). This is useful when using resource-specific bit masks that are not part of the SDDL standard. If omitted, Full access is used./condition Appends an attribute based expression like the following: Document sensitivity is HBI (\"High\") \"(@Resource.Sensitivity == \\\"High\\\")\"%nExamples:%n auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\\myuser /success auditpol /resourceSACL /set /type:File /user:MYDOMAIN\\myuser /success /failure /access:FRFW auditpol /resourceSACL /set /type:File /user:everyone /success /failure /access:FRFW /condition:\"(@Resource.Sensitivity == \\\"High\\\")\" auditpol /resourceSACL /type:File /clear auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001} auditpol /resourceSACL /type:File /view auditpol /resourceSACL /type:File /view /user:MYDOMAIN\\myuser |
| 0x100A | Une stratégie d’audit est définie pour les comptes d’utilisateur suivants :%n |
Audit policy is defined for the following user accounts:%n |
| 0x100B | Compte utilisateur%n |
User Account%n |
| 0x100C | SID |
SID |
| 0x100D | Aucune stratégie d’audit n’est définie pour le compte d’utilisateur.%n |
No audit policy is defined for the user account.%n |
| 0x100E | Commande exécutée correctement.%n |
The command was successfully executed.%n |
| 0x100F | Descripteur de sécurité de la stratégie d’audit : %%s%n |
Audit Policy Security Descriptor: %%s%n |
| 0x1010 | Il n’existe actuellement pas de liste SACL globale pour ce type de ressource.%n |
Currently, there is no global SACL for this resource type.%n |
| 0x1011 | Entrée : %%luType de ressource : %%sUtilisateur : %%sIndicateurs : %%sCondition : %%sAccès : |
Entry: %%luResource Type: %%sUser: %%sFlags: %%sCondition: %%sAccesses: |
| 0x1012 | [Erreur de conversion du SID du compte] |
[Error converting account SID] |
| 0x1013 | Aucun |
None |
| 0x1014 | Opération réussie |
Success |
| 0x1015 | Échec |
Failure |
| 0x1016 | Réussite et échec |
Success and failure |
| 0x1017 | L’erreur 0x%%08X s’est produite :%n%%s%n |
Error 0x%%08X occurred:%n%%s%n |