您想了解如何配置组策略以启用命令行的审计吗? 在此教程中,我们将向您展示如何配置事件查看器,以便使用 GPO 从命令行中注册命令。

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

设备列表

以下部分介绍用于创建本教程的设备列表。

作为亚马逊同事,我从符合条件的购买中赚取收入。

教程 GPO – 审核命令行

在域控制器上,打开组策略管理工具。

创建新的组策略。

输入新组策略的名称。

Windows - Add GPO

在我们的示例中,新的 GPO 被命名为:MY-GPO。

在组策略管理屏幕上,展开名为”组策略对象”的文件夹。

右键单击新的组策略对象并选择”编辑”选项。

Windows - Edit GPO

在组策略编辑器屏幕上,展开”计算机配置”文件夹并找到以下项。

Copy to Clipboard

访问名为”详细跟踪”的文件夹。

GPO - Audit commands DOS

编辑名为”审计徽标”的配置项目。

启用选项来审核成功的流程创建。

GPO - Audit DOS command-line

在组策略编辑器屏幕上,展开”计算机配置”文件夹并找到以下项。

Copy to Clipboard

访问名为”审核”过程创建的文件夹。

GPO - Command-line audit event viewer

启用所命名的配置项目:在过程创建事件中包括命令行。

GPO - Audit command-line

若要保存组策略配置,需要关闭组策略编辑器。

祝贺! 您已完成 GPO 创建。

教程 GPO – 审核来自命令行的命令

在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接存在 GPO 的选项。

在我们的示例中,我们将将名为 MY-GPO 的组策略链接到域的根目录。

GPO- tutorial linking

应用 GPO 后,您需要等待 10 或 20 分钟。

在此期间,GPO 将复制到其他域控制器。

在远程计算机上,启动高架电源壳命令行。

Windows 10 - powershell elevated

验证高级徽标安全审核策略设置。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

列出最后 10 个日志条目。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

使用命令行执行任何任务。

Copy to Clipboard

使用事件查看器从最后一个命令获取详细信息。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

列出成功的标志提示。

Copy to Clipboard

在我们的示例中,我们启用了使用 GPO 对命令行的命令进行审计。