Auditpol

Die Gruppenrichtlinienanzeige gibt nicht immer das zurück was tatsächlich in den Erweiterte Überwachungsrichtlinien eingestellt ist.
Um die tatsächlichen Einstellungen zu bekommen, muss über eine Administrative Dos-Box Auditpol verwendete werden.

Achtung:
Die Ausgabe hat nicht immer eine gleichbleibende Sortierung!

Der Befehl 

auditpol /get /category:*

liefert eine Übersicht aller Erweiterten Überwachungsrichtlinien und wie die jeweilige Einstellung ist zurück.
Jeder Eintrag kann einen der folgenden vier Einstellungen habe:

  • Keine Überwachung
  • Erfolg
  • Fehler
  • Erfolg und Fehler

Beispiel für die Kategorie System:

  • Systemüberwachungsrichtlinie
    • Kategorie/Unterkategorie Einstellung
      • System
        • Sicherheitssystemerweiterung Erfolg und Fehler
        • Systemintegrität Erfolg und Fehler
        • IPSEC-Treiber Erfolg und Fehler
        • Andere Systemereignisse Erfolg und Fehler
        • Sicherheitsstatusänderung Erfolg und Fehler

Der Befehl

auditpol /list /subcategory:*

gibt alle Kategorieren und Unterkategorieren der Erweiterten Überwachungsrichtlinien zurück.

Der Befehl

auditpol /list /subcategory:* /r

Um die Richtlinie für die Kategorie und Unterkategorien im Berichtsformat abzurufen und den Computernamen, das Richtlinienziel, die Unterkategorie, die GUID der Unterkategorie, die Einschlusseinstellungen und die Ausschlusseinstellungen einzubeziehen
Die Kategorieren und Unterkategorieren sind abhängig von der Betriebssystemsprache, nur die GUID ist sprachenunabhängig.

Kategorie/Unterkategorie GUID
 
System {69979848-797A-11D9-BED3-505054503030}
  Sicherheitsstatusänderung {0CCE9210-69AE-11D9-BED3-505054503030}
  Sicherheitssystemerweiterung {0CCE9211-69AE-11D9-BED3-505054503030}
  Systemintegrität {0CCE9212-69AE-11D9-BED3-505054503030}
  IPSEC-Treiber {0CCE9213-69AE-11D9-BED3-505054503030}
  Andere Systemereignisse {0CCE9214-69AE-11D9-BED3-505054503030}
 
An-/Abmeldung {69979849-797A-11D9-BED3-505054503030}
  Anmelden {0CCE9215-69AE-11D9-BED3-505054503030}
  Abmelden {0CCE9216-69AE-11D9-BED3-505054503030}
  Kontosperrung {0CCE9217-69AE-11D9-BED3-505054503030}
  IPsec-Hauptmodus {0CCE9218-69AE-11D9-BED3-505054503030}
  IPsec-Schnellmodus {0CCE9219-69AE-11D9-BED3-505054503030}
  IPsec-Erweiterungsmodus {0CCE921A-69AE-11D9-BED3-505054503030}
  Spezielle Anmeldung {0CCE921B-69AE-11D9-BED3-505054503030}
  Andere Anmelde-/Abmeldeereignisse {0CCE921C-69AE-11D9-BED3-505054503030}
  Netzwerkrichtlinienserver {0CCE9243-69AE-11D9-BED3-505054503030}
  Benutzer-/Geräteansprüche {0CCE9247-69AE-11D9-BED3-505054503030}
  Gruppenmitgliedschaft {0CCE9249-69AE-11D9-BED3-505054503030}
 
Objektzugriff {6997984A-797A-11D9-BED3-505054503030}
  Dateisystem {0CCE921D-69AE-11D9-BED3-505054503030}
  Registrierung {0CCE921E-69AE-11D9-BED3-505054503030}
  Kernelobjekt {0CCE921F-69AE-11D9-BED3-505054503030}
  SAM {0CCE9220-69AE-11D9-BED3-505054503030}
  Zertifizierungsdienste {0CCE9221-69AE-11D9-BED3-505054503030}
  Anwendung wurde generiert. {0CCE9222-69AE-11D9-BED3-505054503030}
  Handleänderung {0CCE9223-69AE-11D9-BED3-505054503030}
  Dateifreigabe {0CCE9224-69AE-11D9-BED3-505054503030}
  Filterplattform: Verworfene Pakete {0CCE9225-69AE-11D9-BED3-505054503030}
  Filterplattformverbindung {0CCE9226-69AE-11D9-BED3-505054503030}
  Andere Objektzugriffsereignisse {0CCE9227-69AE-11D9-BED3-505054503030}
  Detaillierte Dateifreigabe {0CCE9244-69AE-11D9-BED3-505054503030}
  Wechselmedien {0CCE9245-69AE-11D9-BED3-505054503030}
  Staging zentraler Richtlinien {0CCE9246-69AE-11D9-BED3-505054503030}
 
Berechtigungen {6997984B-797A-11D9-BED3-505054503030}
  Sensible Verwendung von Rechten {0CCE9228-69AE-11D9-BED3-505054503030}
  Nicht sensible Verwendung von Rechten {0CCE9229-69AE-11D9-BED3-505054503030}
  Andere Rechteverwendungsereignisse {0CCE922A-69AE-11D9-BED3-505054503030}
 
Detaillierte Nachverfolgung {6997984C-797A-11D9-BED3-505054503030}
  Prozesserstellung {0CCE922B-69AE-11D9-BED3-505054503030}
  Prozessbeendigung {0CCE922C-69AE-11D9-BED3-505054503030}
  DPAPI-Aktivität {0CCE922D-69AE-11D9-BED3-505054503030}
  RPC-Ereignisse {0CCE922E-69AE-11D9-BED3-505054503030}
  Plug & Play-Ereignisse {0CCE9248-69AE-11D9-BED3-505054503030}
  Ereignisse zu angepassten Tokenrechten {0CCE924A-69AE-11D9-BED3-505054503030}
 
Richtlinienänderung {6997984D-797A-11D9-BED3-505054503030}
  Richtlinienänderungen überwachen {0CCE922F-69AE-11D9-BED3-505054503030}
  Authentifizierungsrichtlinienänderung {0CCE9230-69AE-11D9-BED3-505054503030}
  Autorisierungsrichtlinienänderung {0CCE9231-69AE-11D9-BED3-505054503030}
  MPSSVC-Richtlinienänderung auf Regelebene {0CCE9232-69AE-11D9-BED3-505054503030}
  Filterplattform-Richtlinienänderung {0CCE9233-69AE-11D9-BED3-505054503030}
  Andere Richtlinienänderungsereignisse {0CCE9234-69AE-11D9-BED3-505054503030}
 
Kontenverwaltung {6997984E-797A-11D9-BED3-505054503030}
  Benutzerkontenverwaltung {0CCE9235-69AE-11D9-BED3-505054503030}
  Computerkontoverwaltung {0CCE9236-69AE-11D9-BED3-505054503030}
  Sicherheitsgruppenverwaltung {0CCE9237-69AE-11D9-BED3-505054503030}
  Verteilergruppenverwaltung {0CCE9238-69AE-11D9-BED3-505054503030}
  Anwendungsgruppenverwaltung {0CCE9239-69AE-11D9-BED3-505054503030}
  Andere Kontoverwaltungsereignisse {0CCE923A-69AE-11D9-BED3-505054503030}
 
DS-Zugriff {6997984F-797A-11D9-BED3-505054503030}
  Verzeichnisdienstzugriff {0CCE923B-69AE-11D9-BED3-505054503030}
  Verzeichnisdienständerungen {0CCE923C-69AE-11D9-BED3-505054503030}
  Verzeichnisdienstreplikation {0CCE923D-69AE-11D9-BED3-505054503030}
  Detaillierte Verzeichnisdienstreplikation {0CCE923E-69AE-11D9-BED3-505054503030}
 
Kontoanmeldung {69979850-797A-11D9-BED3-505054503030}
  Überprüfung der Anmeldeinformationen {0CCE923F-69AE-11D9-BED3-505054503030}
  Ticketvorgänge des Kerberos-Diensts {0CCE9240-69AE-11D9-BED3-505054503030}
  Andere Kontoanmeldungsereignisse {0CCE9241-69AE-11D9-BED3-505054503030}
  Kerberos-Authentifizierungsdienst {0CCE9242-69AE-11D9-BED3-505054503030}