Partager via


SYSTEM_AUDIT_ACE structure (winnt.h)

La structure SYSTEM_AUDIT_ACE définit une entrée de contrôle d’accès (ACE) pour la liste de contrôle d’accès système (SACL) qui spécifie les types d’accès qui provoquent des notifications au niveau du système. Un ACE d’audit système entraîne la journaliser un message d’audit lorsqu’un administrateur spécifié tente d’accéder à un objet. Le fiduciaire est identifié par un identificateur de sécurité (SID).

Syntaxe

typedef struct _SYSTEM_AUDIT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  DWORD       SidStart;
} SYSTEM_AUDIT_ACE;

Membres

Header

ACE_HEADER structure qui spécifie la taille et le type d’ACE. Il contient également des indicateurs qui contrôlent l’héritage de l’ACE par des objets enfants. Le membre AceType de la structure ACE_HEADER doit être défini sur SYSTEM_AUDIT_ACE_TYPE, et le membre AceSize doit être défini sur le nombre total d’octets alloués pour la structure SYSTEM_AUDIT_ACE .

Mask

Spécifie une structure de ACCESS_MASK qui donne les droits d’accès qui entraînent la génération de messages d’audit. Les indicateurs SUCCESSFUL_ACCESS_ACE_FLAG et FAILED_ACCESS_ACE_FLAG dans le membre AceFlags de la structure ACE_HEADER indiquent si les messages sont générés pour les tentatives d’accès réussies, les tentatives d’accès infructueuses ou les deux.

SidStart

Premier DWORD du SID d’un fiduciaire. Les octets restants du SID sont stockés dans la mémoire contiguë après le membre SidStart . Ce SID peut être ajouté avec des données d’application.

Une tentative d’accès d’un type spécifié par le membre Mask par tout administrateur dont le SID correspond au membre SidStart entraîne la génération d’un message d’audit par le système. Si une application ne spécifie pas de SID pour ce membre, des messages d’audit sont générés pour les droits d’accès spécifiés pour tous les administrateurs.

Remarques

Les messages d’audit sont stockés dans un journal des événements qui peut être manipulé à l’aide des fonctions de journalisation des événements de l’API Windows ou à l’aide de la observateur d'événements (Eventvwr.exe).

Les structures ACE doivent être alignées sur les limites DWORD . Toutes les fonctions de gestion de la mémoire Windows retournent des handles alignés sur DWORD à la mémoire.

Lorsqu’une structure SYSTEM_AUDIT_ACE est créée, suffisamment de mémoire doit être allouée pour prendre en charge le SID complet du fiduciaire dans le membre SidStart et la mémoire contiguë qui le suit.

Configuration requise

   
Client minimal pris en charge Windows XP [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2003 [applications de bureau uniquement]
En-tête winnt.h (inclure Windows.h)

Voir aussi

ACL