Vous pouvez visualiser, modifier et supprimer les paramètres d’audit par utilisateur, au moyen de audit-usr.exe (situé dans %windows%\system32). Pour obtenir la liste des paramètres d’audit par utilisateur actuels, tapez
auditusr
sur la ligne de commande, comme le montre la figure 1.
Avant
Utiliser Auditusr
de commencer à établir de nouvelles stratégies par utilisateur, trois renseignements vous sont nécessaires :
• les catégories d’audit qui sont déjà validées localement
• les comptes principaux de sécurité que vous voulez modifier
•si vous voulez inclure les principaux de sécurité dans les catégories ou, au contraire, les en exclure
Ensuite, utilisez Auditusr pour créer des exceptions à votre audit global. La syntaxe permettant d’inclure ou d’exclure des utilisateurs pour une catégorie donnée est :
auditusr /<wcommand> <securityprincipalname>:<auditcategory>
Le tableau 1 montre les quatre commandes d’inclusion ou d’exclusion. Si vous ne faites pas précéder les noms des principaux de sécurité avec le nom du domaine ou du groupe de travail, Auditusr tentera d’abord de trouver un utilisateur local, puis recherchera un compte de domaine. Vous pouvez spécifier des noms de domaines en utilisant des noms NetBIOS ou des FQDN (Fully Qualified Domain Names), qui sont convertis en noms abrégés lors de l’affichage.
Il faut écrire en entier les noms de catégories d’audit complets. Les noms de catégories peuvent contenir des espaces, comme Privilege Use, doivent être mis entre guillemets ("Privilege Use") mais ne font pas la distinction entre les majuscules et les minuscules. Microsoft dit que l’on peut spécifier des catégories d’audit consécutives en les séparant par un point-virgule, mais je n’ai pas pu définir plusieurs catégories à la fois dans mon test.
Voici quelques exemples de commandes Auditusr définissant l’inclusion et l’exclusion de catégories d’audit pour l’utilisateur :
auditusr /if joeuser:Logon/Logoff
auditusr /es joeuser:"Privilege Use"
Malheureusement, au moment où j’écris cet article, Microsoft possède peu de documentation sur l’outil Auditusr, aussi n’ai-je pas pu vérifier la syntaxe et les sorties escomptées.
Comme le montre la figure 1, Auditusr donne la liste de chaque catégorie include-success, include-failure, excludesuccess et exclude-failure, pour chaque utilisateur sur une ligne séparée. Vous pouvez effacer tous les paramètres par utilisateur avec la commande suivante :
auditusr /ra
ou n’effacer l’implication que d’un principal de sécurité particulier avec la commande
auditusr /r <securityprincipalname>
Auditusr a également des commutateurs ligne de commande (/i et /e) qui permettent l’importation et l’exportation de listes de fichiers dans le but d’automatiser l’opération d’audit sélectif. Pour la syntaxe complète d’Auditusr, tapez
auditusr /?
à une invite de commande.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
