POLICY_AUDIT_EVENT_TYPE-Enumeration (ntsecapi.h)
Die POLICY_AUDIT_EVENT_TYPE-Enumeration definiert Werte, die die Typen von Ereignissen angeben, die das System überwachen kann. Die Funktionen LsaQueryInformationPolicy und LsaSetInformationPolicy verwenden diese Enumeration, wenn ihre InformationClass-Parameter auf PolicyAuditEventsInformation festgelegt sind.
Syntax
typedef enum _POLICY_AUDIT_EVENT_TYPE {
AuditCategorySystem = 0,
AuditCategoryLogon,
AuditCategoryObjectAccess,
AuditCategoryPrivilegeUse,
AuditCategoryDetailedTracking,
AuditCategoryPolicyChange,
AuditCategoryAccountManagement,
AuditCategoryDirectoryServiceAccess,
AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;
Konstanten
AuditCategorySystem Wert: 0 Bestimmt, ob das Betriebssystem einen der folgenden Versuche überwachen muss:
|
AuditCategoryLogon Bestimmt, ob das Betriebssystem jedes Mal überwachen muss, wenn dieser Computer die Anmeldeinformationen eines Kontos überprüft. Kontoanmeldungsereignisse werden immer dann generiert, wenn ein Computer die Anmeldeinformationen eines seiner lokalen Konten überprüft. Die Überprüfung der Anmeldeinformationen kann eine lokale Anmeldung unterstützen oder im Fall eines Active Directory-Domänenkontos auf einem Domänencontroller eine Anmeldung bei einem anderen Computer unterstützen. Überwachte Ereignisse für lokale Konten müssen im lokalen Sicherheitsprotokoll des Computers protokolliert werden. Die Kontoabmeldung generiert kein Ereignis, das überwacht werden kann. |
AuditCategoryObjectAccess Bestimmt, ob das Betriebssystem jeden instance von Benutzerversuchen überwachen muss, um auf ein Nicht-Active Directory-Objekt zuzugreifen, z. B. eine Datei, für die eine eigene Systemzugriffssteuerungsliste (System Access Control List, SACL) angegeben ist. Der Typ der Zugriffsanforderung, z. B. Schreiben, Lesen oder Ändern, und das Konto, das die Anforderung stellt, müssen mit den Einstellungen in der SACL übereinstimmen. |
AuditCategoryPrivilegeUse Bestimmt, ob das Betriebssystem jede instance von Benutzerversuchen überwachen muss, um Berechtigungen zu verwenden. |
AuditCategoryDetailedTracking Bestimmt, ob das Betriebssystem bestimmte Ereignisse überwachen muss, z. B. programmaktivierung, einige Formen von Handleduplizierung, indirekter Zugriff auf ein Objekt und Beenden des Prozesses. |
AuditCategoryPolicyChange Bestimmt, ob das Betriebssystem Versuche überwachen muss, Richtlinienobjektregeln zu ändern, z. B. Richtlinie für die Zuweisung von Benutzerrechten, Überwachungsrichtlinie, Kontorichtlinie oder Vertrauensrichtlinie. |
AuditCategoryAccountManagement Bestimmt, ob das Betriebssystem Versuche zum Erstellen, Löschen oder Ändern von Benutzer- oder Gruppenkonten überwachen muss. Überwachen Sie außerdem Kennwortänderungen. |
AuditCategoryDirectoryServiceAccess Bestimmt, ob das Betriebssystem Versuche für den Zugriff auf den Verzeichnisdienst überwachen muss. Für das Active Directory-Objekt ist eine eigene SACL angegeben. Der Typ der Zugriffsanforderung, z. B. Schreiben, Lesen oder Ändern, und das Konto, das die Anforderung stellt, müssen mit den Einstellungen in der SACL übereinstimmen. |
AuditCategoryAccountLogon Bestimmt, ob das Betriebssystem jeden instance eines Benutzers überwachen muss, der versucht, sich auf diesem Computer anzumelden oder abzumelden. Überwacht außerdem Anmeldeversuche von privilegierten Konten, die sich beim Domänencontroller anmelden. Diese Überwachungsereignisse werden generiert, wenn sich das Kerberos Key Distribution Center (KDC) beim Domänencontroller anmeldet. Abmeldungsversuche werden immer dann generiert, wenn die Anmeldesitzung eines angemeldeten Benutzerkontos beendet wird. |
Hinweise
Die POLICY_AUDIT_EVENT_TYPE-Enumeration kann in zukünftigen Versionen von Windows erweitert werden. Aus diesem Fall sollten Sie die Anzahl der Werte in dieser Enumeration nicht direkt berechnen. Stattdessen sollten Sie die Anzahl der Werte abrufen, indem Sie LsaQueryInformationPolicy aufrufen, wobei der InformationClass-Parameter auf PolicyAuditEventsInformation festgelegt ist, und die Anzahl aus dem MaximumAuditEventCount-Member der zurückgegebenen POLICY_AUDIT_EVENTS_INFO-Struktur extrahieren.
Anforderungen
Anforderung | Wert |
---|---|
Unterstützte Mindestversion (Client) | Windows XP [nur Desktop-Apps] |
Unterstützte Mindestversion (Server) | Windows Server 2003 [nur Desktop-Apps] |
Kopfzeile | ntsecapi.h |
Weitere Informationen
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für