共用方式為


SeOpenObjectForDeleteAuditAlarm 函式 (ntifs.h)

當嘗試開啟對象以進行刪除時 ,SeOpenObjectForDeleteAuditAlarm 例程會產生稽核和警示訊息。

語法

void SeOpenObjectForDeleteAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

參數

[in] ObjectTypeName

指定用戶端要求存取的物件類型之 Null 終止字串的指標。 此字串會出現在任何產生的稽核訊息中。

[in, optional] Object

要以意圖刪除開啟之物件的位址。 只有在記錄訊息中輸入時,才需要此值。 如果開啟嘗試失敗,則會忽略 Object 的值。 否則,必須提供它。

[in, optional] AbsoluteObjectName

以 Null 終止字串的指標,指定要以意圖刪除開啟的物件名稱。 此字串會出現在任何產生的稽核訊息中。

[in] SecurityDescriptor

要以意圖刪除開啟之物件之安全描述元結構的指標。

[in] AccessState

存取狀態結構的指標,其中包含對象的主體內容、剩餘所需的存取類型、授與的存取類型,以及選擇性的許可權集合,以指出哪些許可權是用來允許存取。

[in] ObjectCreated

如果開啟作業導致建立新的物件,則設定為 TRUE ;如果開啟現有的物件,則設定為 FALSE

[in] AccessGranted

如果根據先前的存取檢查或許可權檢查授與開啟存取權,則設定為 TRUE ;如果拒絕,則設定為 FALSE

[in] AccessMode

用於存取檢查的存取模式。 UserModeKernelMode

[out] GenerateOnClose

當 SeOpenObjectAuditAlarm 傳回時,稽核產生例程所設定旗標的指標。

傳回值

備註

當使用者模式進程嘗試以意圖刪除物件時,SeOpenObjectForDeleteAuditAlarm 會產生任何必要的稽核或警示訊息。 當指定旗標FILE_DELETE_ON_CLOSE時,文件系統會使用 SeOpenObjectForDeleteAuditAlarm。 不會針對內核模式存取產生任何訊息。

呼叫 SeOpenObjectForDeleteAuditAlarm 之前,呼叫端必須呼叫 SeLockSubjectContext 來鎖定呼叫端的主要和模擬令牌。 呼叫 SeOpenObjectForDeleteAuditAlarm 之後,呼叫端必須呼叫 SeUnlockSubjectContext 來釋放這些令牌。

如需安全性和訪問控制的詳細資訊,請參閱 適用於驅動程序開發人員的 Windows 安全性模型 ,以及 Windows SDK 中這些主題的相關文件。

規格需求

需求
目標平台 Universal
標頭 ntifs.h (包含 Ntifs.h)
程式庫 NtosKrnl.lib
Dll NtosKrnl.exe
IRQL PASSIVE_LEVEL

另請參閱

ACCESS_STATE

SECURITY_DESCRIPTOR

SeAuditingFileEvents

SeAuditingFileOrGlobalEvents

SeDeleteObjectAuditAlarm

SeLockSubjectContext

SeOpenObjectAuditAlarm

SeSetAccessStateGenericMapping

SeUnlockSubjectContext

UNICODE_STRING