1.新建安全策略组文件SAMTool.inf
md C:SAMLog & echo [Version] >C:SAMLogSAMTool.inf &echo signature=""$CHICAGO$"" >>C:SAMLogSAMTool.inf &echo [Event Audit] >>C:SAMLogSAMTool.inf &(echo AuditSystemEvents=3 >>C:SAMLogSAMTool.inf) & echo AuditLogonEvents=3 >>C:SAMLogSAMTool.inf & echo AuditObjectAccess=3 >>C:SAMLogSAMTool.inf & echo AuditPrivilegeUse=3 >>C:SAMLogSAMTool.inf & echo AuditPolicyChange=3 >>C:SAMLogSAMTool.inf & echo AuditAccountManage=3 >>C:SAMLogSAMTool.inf & echo AuditProcessTracking=3 >>C:SAMLogSAMTool.inf & echo AuditDSAccess=3 >>C:SAMLogSAMTool.inf & echo AuditAccountLogon=3 >>C:SAMLogSAMTool.inf
2 导入安全策略组文件:
secedit /configure /db C:SAMLogSAMTool.sdb /cfg C:SAMLogSAMTool.inf /log C:SAMLogSAMTool.log /quiet &rd/s/q C:SAMLog"
运行:gpedit.msc 计算机配置 -> 安全设置 -> 本地策略 -> 审核策略 (本地安全设置为 3:成功失败 ,2:失败,1:成功,0:未审核)