xaudit 命令修改系统 Access Control 列表

Xaudit 命令将条目添加至系统访问控制列表 (SACL) 中。 该列表中的每个条目会导致一条审核消息时指定的用户记录或组试图获得对资源的访问。 xaudit- 命令可从 SACL 中删除条目,并且对资源类型 FILE、PRINTER、REGKEY、DISK、COM 或 SHARE 有效。
cminder12901cn
Xaudit 命令将条目添加至系统访问控制列表 (SACL) 中。 该列表中的每个条目会导致一条审核消息时指定的用户记录或组试图获得对资源的访问。 xaudit- 命令可从 SACL 中删除条目,并且对资源类型 FILE、PRINTER、REGKEY、DISK、COM 或 SHARE 有效。
此命令格式如下:
xaudit classNameresourceName \
[failure(auditMode)] \ [gid(groupName)] \ [success(auditMode)] \ [uid(userName)]
  • className
    指定资源所属的资源类型名。
  • failure(
    auditMode
    )
    记录未经授权尝试的访问者的资源。
    Auditmode
    的有效值取决于它所属的资源类型:
    注意:
    只有 NTFS 文件可以具有审核模式
    • DISK
      COM
      : changePermissions、 delete、 modify、 query、 read、 synchronize、 takeOwnership。
    • FILE
      : changePermissions、 delete、execute、 read、 takeOwnership 和 write。
    • PRINTER
      : changePermissions、 delete、 print 和 takeOwnership。
    • REGKEY
      : delete、 enumerate、 link、 notify、 queryValue、 readControl、 setValue、 subkey 和 write。
    对于所有资源类型:
    none
    all
  • gid(
    groupName
    )
    指定正在审核其对资源访问权限的组。 指定多个组时,请用空格或逗号分隔名称。
  • resourceName
    指定正在修改其系统访问控制列表 (SACL) 的资源记录的名称。
  • success(
    auditMode
    )
    记录访问者对资源的成功访问。
    Auditmode
    的有效值取决于它所属的资源类型:
    注意:
    只有 NTFS 文件可以具有审核模式
    • DISK
      COM
      : changepermissions、 delete、 modify、 query、 read、 synchronize、 takeownership。
    • FILE
      : changePermissions、 delete、execute、 read、 takeOwnership 和 write。
    • PRINTER
      : changePermissions、 delete、 print 和 takeOwnership。
    • REGKEY
      : delete、 enumerate、 link、 notify、 queryValue、 readControl、 setValue、 subkey 和 write。
    对于所有资源类型:
    none
    all
  • uid(
    userName
    )
    指定正在审核其对资源访问权限的用户。 指定多个用户时,以空格或逗号分隔这些用户名。 要指定 Windows NT 数据库中定义的所有用户,请为
    userName
    指定一个星号 (*)。