PrivilegedServiceAuditAlarmA 函数 (winbase.h)

PrivilegedServiceAuditAlarm 函数在安全事件日志中生成审核消息。 受保护的服务器可以使用此函数记录客户端使用指定 权限集的尝试。

当前不支持警报。

语法

BOOL PrivilegedServiceAuditAlarmA(
  [in] LPCSTR         SubsystemName,
  [in] LPCSTR         ServiceName,
  [in] HANDLE         ClientToken,
  [in] PPRIVILEGE_SET Privileges,
  [in] BOOL           AccessGranted
);

参数

[in] SubsystemName

指向以 null 结尾的字符串的指针,该字符串指定调用函数的子系统的名称。 此信息显示在安全事件日志记录中。

[in] ServiceName

指向以 null 结尾的字符串的指针,该字符串指定特权子系统服务的名称。 此信息显示在安全事件日志记录中。

[in] ClientToken

标识表示请求操作的客户端 的访问令牌 。 必须通过打开模拟客户端的线程的令牌来获取此句柄。 令牌必须打开才能TOKEN_QUERY访问。 函数使用此令牌获取安全事件日志记录的客户端标识。

[in] Privileges

指向包含客户端尝试使用的权限 的PRIVILEGE_SET 结构的指针。 权限的名称显示在安全事件日志记录中。

[in] AccessGranted

指示客户端使用权限的尝试是否成功。 如果此值为 TRUE,则安全事件日志记录指示成功。 如果此值为 FALSE,则安全事件日志记录指示失败。

返回值

如果该函数成功,则返回值为非零值。

如果函数失败,则返回值为零。 要获得更多的错误信息,请调用 GetLastError。

注解

PrivilegedServiceAuditAlarm 函数不检查客户端的访问令牌来确定是保留还是启用特权。 通常,首先调用 PrivilegeCheck 函数以确定是否在访问令牌中启用了指定的权限,然后调用 PrivilegedServiceAuditAlarm 来记录结果。

PrivilegedServiceAuditAlarm 函数要求调用进程启用SE_AUDIT_NAME特权。 此权限的测试始终针对调用进程的 主令牌 执行。 这允许调用进程在调用期间模拟客户端。

要求

要求
最低受支持的客户端 Windows XP [仅限桌面应用]
最低受支持的服务器 Windows Server 2003 [仅限桌面应用]
目标平台 Windows
标头 winbase.h (包括 Windows.h)
Library Advapi32.lib
DLL Advapi32.dll

另请参阅

客户端/服务器访问控制函数

客户端/服务器访问控制概述

ObjectPrivilegeAuditAlarm

PRIVILEGE_SET

PrivilegeCheck