POLICY_AUDIT_EVENT_TYPE列舉 (ntsecapi.h)
POLICY_AUDIT_EVENT_TYPE列舉會定義值,指出系統可以稽核的事件類型。 當 LsaQueryInformationPolicy 和 LsaSetInformationPolicy 函式將其 InformationClass 參數設定為 PolicyAuditEventsInformation 時,會使用此列舉。
Syntax
typedef enum _POLICY_AUDIT_EVENT_TYPE {
AuditCategorySystem = 0,
AuditCategoryLogon,
AuditCategoryObjectAccess,
AuditCategoryPrivilegeUse,
AuditCategoryDetailedTracking,
AuditCategoryPolicyChange,
AuditCategoryAccountManagement,
AuditCategoryDirectoryServiceAccess,
AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;
常數
AuditCategorySystem 值: 0 判斷作業系統是否必須稽核下列任何嘗試:
|
AuditCategoryLogon 判斷每次這部計算機驗證帳戶的認證時,操作系統是否必須稽核。 每當計算機驗證其中一個本機帳戶的認證時,就會產生帳戶登入事件。 認證驗證可以支援本機登入,或者,如果是域控制器上的 Active Directory 網域帳戶,則可以支援登入另一部計算機。 本機帳戶的稽核事件必須登入計算機的本機安全性記錄檔。 帳戶註銷不會產生可稽核的事件。 |
AuditCategoryObjectAccess 判斷操作系統是否必須稽核每個用戶嘗試存取非 Active Directory 對象的實例,例如檔案,該檔案有自己的系統存取控制清單, (SACL) 指定。 存取要求的類型,例如寫入、讀取或修改,以及提出要求的帳戶必須符合 SACL 中的設定。 |
AuditCategoryPrivilegeUse 判斷操作系統是否必須稽核用戶嘗試使用 許可權的每個實例。 |
AuditCategoryDetailedTracking 判斷操作系統是否必須稽核特定事件,例如程式啟用、某些形式的處理重複、物件的間接存取,以及進程結束。 |
AuditCategoryPolicyChange 判斷操作系統是否必須稽核嘗試變更 原則 對象規則,例如用戶權力指派原則、審核策略、帳戶原則或信任原則。 |
AuditCategoryAccountManagement 判斷操作系統是否必須稽核嘗試建立、刪除或變更使用者或組帳戶。 此外,稽核密碼變更。 |
AuditCategoryDirectoryServiceAccess 判斷操作系統是否必須稽核嘗試存取目錄服務。 Active Directory 物件已指定自己的 SACL。 存取要求的類型,例如寫入、讀取或修改,以及提出要求的帳戶必須符合 SACL 中的設定。 |
AuditCategoryAccountLogon 判斷操作系統必須稽核用戶嘗試登入或註銷這部計算機的每個實例。 此外,也會稽核登入域控制器之特殊許可權帳戶的登入嘗試。 當 Kerberos 金鑰發佈中心 (KDC) 登入域控制器時,就會產生這些稽核事件。 每當登入用戶帳戶的登入會話終止時,就會產生註銷嘗試。 |
備註
POLICY_AUDIT_EVENT_TYPE列舉可能會在未來的 Windows 版本中擴充。 因此,您不應該直接計算此列舉中的值數目。 相反地,您應該呼叫 LsaQueryInformationPolicy,並將 InformationClass 參數設定為 PolicyAuditEventsInformation,並從傳回POLICY_AUDIT_EVENTS_INFO結構的 MaximumAuditEventCount 成員擷取計數。
規格需求
需求 | 值 |
---|---|
最低支援的用戶端 | Windows XP [僅限傳統型應用程式] |
最低支援的伺服器 | Windows Server 2003 [僅限桌面應用程式] |
標頭 | ntsecapi.h |
另請參閱
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應