レジストリを介して監査ポリシーを変更する

Homeエディションにauditpol.exeがあるかどうかはわかりませんが、ある場合、このコマンドはすべてのログオン関連アクティビティの成功と失敗の監査を有効にします。

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable

本当にレジストリを破壊したい場合は、 その優れたドキュメント を利用できます。 （Microsoftのものは時代遅れです-それは監査サブカテゴリを持っていなかったWindows NT用です。）最初にレジストリへのシステムレベルのアクセスが必要になります。あなたはすでにそれを達成しているように見えますが、他のすべての人にとって、それは PsExec で行うことができます：

psexec -s -i regedit

（これにより、SYSTEMとして実行されるレジストリエディタのインスタンスが作成されます。）完了したら、デフォルト値のHKLM\SECURITY\Policy\PolAdtEvを開きます。ドキュメントの2ページ目には、各サブカテゴリを制御する場所が記載されています。たとえば、ログオンは22バイト目、または16進数（レジストリエディタのサイドバーで使用）の16から始まります。このスクリーンショットでは、ログオンを制御する部分を強調表示しています。

これらはすべて16ビット（2バイト）の値です。 00 00は監査なし、01 00は成功監査、02 00は失敗監査、03 00はすべての監査を意味します。

したがって、ログオンとログオフの成功を監査する場合は、場所0x16で開始されたデータを01 00 01 00に置き換えます。上のスクリーンショットでは、これらの監査をすべてオンにしました。ログオン/ログオフカテゴリ全体が必要な場合は、9つのサブカテゴリがあるため、9つの01 00が必要になります。

変更を有効にするには、再起動する必要があります。