名稱稽核原則:原則變更:稽核授權原則變更
GPOComputer Settings
類別進階稽核原則\原則變更
描述▪ 此項原則設定稽核因授權原則變更而產生之事件,例如:
指派未透過「驗證原則變更」子類別稽核的使用者權限(如 SeCreateTokenPrivilege)
移除未透過「驗證原則變更」子類別稽核的使用者權限(如 SeCreateTokenPrivilege)
加密檔案系統(EFS) 原則的變更
物件之資源屬性的變更
套用至物件之集中存取原則(CAP) 的變更
▪ 如果設定此項原則設定,則會在嘗試變更授權原則時產生稽核事件。成功稽核會記錄成功嘗試,而失敗稽核則會記錄失敗嘗試
▪ 如果未設定此項原則設定,則不會在變更授權原則時產生稽核事件
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\系統稽核原則\原則變更]
3. 在右邊窗點擊 "稽核授權原則變更".
4. 勾選 [成功]