我知道您可以从本地安全策略编辑器执行此操作,但我想要一个可以从自动脚本运行的命令行工具。我需要这个用于 Windows XP 及更高版本的客户端。
附加问题(有点哲学):为什么 Windows 默认不启用用户登录/注销审核?默认情况下,它会记录很多其他不太有用的内容(在我看来),为什么不这样做呢?
答案1
Auditpol 将为您完成此操作 - 例如
auditpol /set /subcategory:"注销" /success:enable /failure:enable
auditpol /set /subcategory:"登录" /success:enable /failure:enable
至于您的附加问题,我怀疑这是系统开销与实用性之间的权衡。登录/注销事件在 Windows 系统上非常常见 - 在一个典型的域中,每天可能会发生数千次,我现在正在查看的系统大约每秒发生几次。显然,这些并不是所有交互式登录,但任何需要调用特权或在特定安全上下文中执行的操作都需要登录和注销,因此会发生很多此类事件。记录“正确”的交互式用户登录事件似乎只是默认设置,但在我的工作中曾参与过一些安全日志的搜索,我认为以全有或全无的方式记录这些事情是个好主意 - 我们发现一个可怜的用户被指责为某事,结果发现是其他人 [滥用特权] 在嫌疑人系统上远程启动了违规进程。