审核帐户登录事件
确定是否要审核用户登录到其他设备或从中注销的每个实例(此设备用于验证实例中的帐户)。
此安全设置确定是否要审核用户登录到其他计算机或从中注销的每个实例(此计算机用于验证实例中的帐户)。在域控制器上对域用户帐户进行身份验证时,会生成帐户登录事件。该事件会记录在域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时,会生成登录事件。该事件会记录在本地安全日志中。不会生成帐户注销事件。
如果定义此策略设置,可以指定是否要审核成功、审核失败,或根本不审核事件类型。在帐户登录尝试成功时,成功审核会生成一个审核项。在帐户登录尝试失败时,失败审核会生成一个审核项。
若要将此值设置为“无审核”,请在此策略设置的“属性”****对话框中,选中“定义这些策略设置”复选框,然后清除“成功”****和“失败”复选框。
默认值:成功
配置此审核设置
可以通过打开“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的相应策略来配置此安全设置。
| 登录事件 | 描述 |
|---|---|
| 672 | 成功发出并验证了身份验证服务 (AS) 票证。 |
| 673 | 授予了票证授予服务 (TGS) 票证。 |
| 674 | 安全主体续订了 AS 票证或 TGS 票证。 |
| 675 | 预身份验证失败。当用户键入错误密码时,会在密钥分发中心 (KDC) 上生成此事件。 |
| 676 | 身份验证票证请求失败。在 Windows XP 或 Windows Server 2003 系列中,不会生成此事件。 |
| 677 | 未授予 TGS 票证。在 Windows XP 或 Windows Server 2003 系列中,不会生成此事件。 |
| 678 | 帐户已成功映射到域帐户。 |
| 681 | 登录失败。试图使用域帐户登录。在 Windows XP 或 Windows Server 2003 系列中,不会生成此事件。 |
| 682 | 用户已重新连接到断开连接的终端服务器会话。 |
| 683 | 用户在未注销的情况下断开了终端服务器会话的连接。 |