名稱稽核原則:原則變更:稽核「稽核原則變更」
CCE
GPOComputer Settings
類別進階稽核原則\原則變更
描述▪ 這個原則設定可稽核安全性稽核原則設定變更,例如:
  稽核原則物件上的設定權限及稽核設定
  系統稽核原則的變更
  安全性事件來源的註冊
  解除安全性事件來源的註冊
  每個使用者稽核設定的變更
  CrashOnAuditFail 值的變更
  檔案系統或登錄物件上的系統存取控制清單變更
  特殊群組清單的變更
▪ 注意: 物件的 SACL 變更而且已啟用原則變更類別時,會進行系統存取控制清單(SACL)變更稽核。啟用物件存取稽核且設定物件的 SACL 以稽核 DACL/擁有者變更時,會稽核判別存取控制清單(DACL) 及擁有權變更
▪ 如果設定這個原則設定,則會在嘗試遠端 RPC 連線時產生稽核事件。成功稽核會記錄成功嘗試,而失敗稽核則會記錄失敗嘗試
▪ 如果未設定這個原則設定,則不會在嘗試遠端 RPC 連線時產生稽核事件
▪ 預設值: 成功
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\稽核原則\原則變更]
3. 在右邊窗點擊 "稽核「稽核原則變更」".
4. 勾選 [成功] [失敗] (GCB 設定值為 [成功] [失敗])
對應Windows 8.1: 第 83 項
對應Server 2008 R2: 第 281 項