SYSTEM_AUDIT_ACE 结构 (winnt.h)

  • 项目

SYSTEM_AUDIT_ACE 结构为系统访问控制列表定义访问控制 (ACE) , (SACL) 指定导致系统级通知的访问类型。 当指定的 受托人 尝试访问对象时,系统审核 ACE 会导致记录审核消息。 受托人由 安全标识符 (SID) 标识。

语法

typedef struct _SYSTEM_AUDIT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  DWORD       SidStart;
} SYSTEM_AUDIT_ACE;

成员

Header

ACE_HEADER 结构,用于指定 ACE 的大小和类型。 它还包含控制子对象继承 ACE 的标志。 ACE_HEADER 结构的 AceType 成员应设置为 SYSTEM_AUDIT_ACE_TYPE,AceSize 成员应设置为为SYSTEM_AUDIT_ACE结构分配的字节总数。

Mask

指定一个 ACCESS_MASK 结构,该结构授予导致生成审核消息的访问权限。 ACE_HEADER 结构的 AceFlags 成员中的 SUCCESSFUL_ACCESS_ACE_FLAG和FAILED_ACCESS_ACE_FLAG 标志指示是否为成功的访问尝试和/或失败的访问尝试生成消息。

SidStart

受托人的 SID 的第一个 DWORD 。 SID 的剩余字节存储在 SidStart 成员之后的连续内存中。 此 SID 可以追加应用程序数据。

SID 与 SidStart 成员匹配的任何受托人对 Mask 成员指定的某种访问尝试会导致系统生成审核消息。 如果应用程序未为此成员指定 SID,则会为所有受托人生成指定访问权限的审核消息。

注解

审核消息存储在事件日志中,可以使用 Windows API 事件日志记录函数或使用事件查看器 (Eventvwr.exe) 操作。

ACE 结构应在 DWORD 边界上对齐。 所有 Windows 内存管理功能将 DWORD 对齐的句柄返回到内存。

创建 SYSTEM_AUDIT_ACE 结构时,必须分配足够的内存,以容纳 SidStart 成员中受托人的完整 SID 以及它后面的连续内存。

要求

   
最低受支持的客户端 Windows XP [仅限桌面应用]
最低受支持的服务器 Windows Server 2003 [仅限桌面应用]
标头 winnt.h (包括 Windows.h)

另请参阅

Acl