审核帐户登录事件描述
该安全设置确定是否审核在这台计算机用于验证帐户时,用户登录到其他计算机或者从其他计算机注销的每个实例。当在域控制器上对域用户帐户进行身份验证时,将产生帐户登录事件。该事件记录在域控制器的安全日志中。当在本地计算机上对本地用户进行身份验证时,将产生登录事件。该事件记录在本地安全日志中。不产生帐户注销事件。
如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对事件类型进行审核。当某个帐户的登录成功时,成功审核会生成审核项。当某个帐户的登录失败时,失败审核会生成审核项。
要将该值设置为“无审核”,可在该策略设置的“属性”对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”复选框。
如果在域控制器上启用了帐户登录事件的成功审核,则将为该域控制器所验证的每位用户记录一个条目,即使用户实际登录的是加入到该域的工作站。
默认值:成功。
配置此安全设置
可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置:计算机配置\Windows 设置\安全设置\本地策略\审核策略\
有关如何配置审核策略设置的特定说明,请参阅定义或修改事件类别的审核策略设置。
帐户登录事件
672 已成功发布并确认验证服务 (AS) 票证。
673 已授予票证授予服务 (TGS) 票证。
674 安全主体续订 AS 票证或 TGS 票证。
675 预身份验证失败。当用户键入不正确的密码时,将在密钥发行中心 (KDC) 上产生该事件。
676 身份验证票证请求失败。在 Windows XP Windows Server 2003 家族中不会生成该事件。
677 不授予 TGS 票证。在 Windows XP Windows Server 2003 家族中不会生成该事件。
678 帐户已成功映射到域帐户。
681 登录失败。已尝试使用域帐户登录。在 Windows XP Windows Server 2003 家族中不会生成该事件。 
682 用户已经重新连接到一个断开的终端服务器会话。
683 用户在没有注销的情况下与某个终端服务器会话断开连接。
审核帐户管理描述
该安全设置确定是否审核计算机上的每一个帐户管理事件。帐户管理事件的例子包括:
创建、更改或删除用户帐户或组。
重命名、禁用或启用用户帐户。
设置或更改密码。
如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对事件类型进行审核。任何帐户管理事件成功时,成功审核都会生成审核项。任何帐户管理事件失败时,失败审核都会生成审核项。要将该值设置为“无审核”,可在该策略设置的“属性”对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”复选框。
默认值:
域控制器上的成功。
成员服务器上的无审核。
配置此安全设置
可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置:计算机配置\Windows 设置\安全设置\本地策略\审核策略\
有关如何配置审核策略设置的特定说明,请参阅定义或修改事件类别的审核策略设置。
帐户管理事件
624 已创建用户帐户。
627 已更改用户密码。
628 已设置用户密码。
630 已删除用户帐户。
631 已创建全局组。
632 已将成员添加到全局组。
633 已从全局组删除成员。
634 已删除全局组。
635 已创建新的本地组。
636 已将成员添加到本地组。
637 已从本地组删除成员。
638 已删除本地组。
639 已更改本地组帐户。
641 已更改全局组帐户。
642 已更改用户帐户。
643 已修改域策略。
644 已自动锁定用户帐户。
645 已创建计算机帐户。
646 已更改计算机帐户。
647 已删除计算机帐户。
648 已创建禁用安全的本地安全组。
注意:/B> 正式名称中的 SECURITY_DISABLED 意味着不能使用该组在访问权限检查中进行授权。
649 已更改禁用安全的本地安全组。
650 已将成员添加到禁用安全的本地安全组。
651 已经从禁用安全的本地安全组中删除成员。
652 已删除禁用安全的本地组。
653 已创建禁用安全的全局组。
654 已更改禁用安全的全局组。
655 已将成员添加到禁用安全的全局组。
656 已从禁用安全的全局组中删除成员。
657 已删除禁用安全的全局组。
658 已创建启用安全的通用组。
659 已更改启用安全的通用组。
660 已将成员添加到启用安全的通用组。
661 已从启用安全的通用组中删除成员。
662 已删除启用安全的通用组。
663 已创建禁用安全的通用组。
664 已更改禁用安全的通用组。
665 已将成员添加到禁用安全的通用组。
666 已从禁用安全的通用组中删除成员。
667 已删除禁用安全的通用组。
668 已更改组类型。
684 设置管理组中成员的安全描述符。
注意:域控制器上的一个后台线程每 60 分钟搜索一次管理组中的所有成员(例如域、企业和计划管理员)并对这些成员应用固定的安全描述符。已记录该事件。
685 已更改帐户名称。
审核目录服务访问描述
该安全设置确定是否审核用户访问那些指定自己的系统访问控制列表 (SACL) Active Directory 对象的事件。
默认情况下,在“默认域控制器组策略对象 (GPO)”中该值设置为无审核,并且在该值没有任何意义的工作站和服务器中,它保持未定义状态。
如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对事件类型进行审核。用户成功访问指定了 SACL Active Directory 对象时,成功审核会生成审核项。用户尝试访问指定了 SACL Active Directory 对象失败时,失败审核会生成审核项。要将该值
设置为“无审核”,可在该策略设置的“属性”对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”复选框。
注意,通过使用某个 Active Directory 对象“属性”对话框中的“安全”选项卡,可以设置该对象的 SACL。该操作与审核对象访问相同,只不过它仅应用于xp提交更改 Active Directory 对象而不是文件系统和注册表对象。
默认值:
域控制器上的成功。
未定义成员计算机。
配置此安全设置
可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置:计算机配置\Windows 设置\安全设置\本地策略\审核策略\
有关如何配置审核策略设置的特定说明,请参阅定义或修改事件类别的审核策略设置。
只有一个目录服务访问事件,该事件与对象访问安全事件消息 566 相同。
目录服务访问事件
566 发生一般对象操作。
审核登录事件描述
该安全设置确定是否审核每一个登录或注销计算机的用户实例。
在域控制器上将生成域帐户活动的帐户登录事件,并在本地计算机上生成本地帐户活动的帐户登录事件。如果同时启用帐户登录和帐户审核策略类别,那么使用域帐户的登录将生成登录或注销工作站或服务器的事件,而且将在域控制器上生成一个帐户登录事件。此外,在用户登录而检索登录脚本和策略时,使用域帐户的成员服务器或工作站的交互式登录将在域控制器上生成登录事件。有关帐户登录事件的详细信息,请参阅审核帐户登录事件。
如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对事件类型进行审核。登录成功时,成功审核会生成审核项。登录失败时,失败审核会生成审核项。
要将该值设置为“无审核”,可在该策略设置的“属性”对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”复选框。
默认值:成功。
配置此安全设置
可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置:计算机配置\Windows 设置\安全设置\本地策略\审核策略\
有关如何配置审核策略设置的特定说明,请参阅定义或修改事件类别的审核策略设置。
登录事件
事件 ID 描述
528 用户已成功登录计算机。有关登录类型的相关信息,请参阅下面的登录类型表。
529 登录失败。尝试使用未知用户名或密码无效的已知用户名登录。
530 登录失败。用户帐户尝试在允许的登录时间之外登录。
531 登录失败。尝试使用禁用的帐户登录。
532 登录失败。尝试使用过期的帐户登录。
533 登录失败。尝试使用被禁止登录该计算机的用户帐户登录。
534 登录失败。用户尝试使用被禁止的登录类型登录。
535 登录失败。指定的帐户密码已过期。
536 登录失败。未激活网络登录服务。
537 登录失败。由于其他原因致使尝试登录失败。
注意:在某些情况下,可能不知道登录失败的原因。
538 完成某个用户的注销过程。
539 登录失败。尝试登录时已锁定账号。
540 用户已成功登录到网络。
541 主模式 Internet 密钥交换 (IKE) 验证已在本地计算机和列出的对等客户端身份之间完成(建立安全联系),或者快速模式已建立一个数据信道。
542 已终止数据信道。
543 主模式已终止。
注意:在安全关联过期(默认为 8 个小时)、策略更改或对等终止时可能出现此错误。
544 主模式身份验证失败是由于对等客户端没有提供有效证书,或者是没有经过验证的签名。
545 主模式身份验证失败是由于 Kerberos 失败或密码无效。
546 由于对等客户端发送无效的建议,因此未能建立 IKE 安全关联。接收到的数据包含有无效数据。
547 IKE 握手期间出现故障。
548 登录失败。受信任域中的安全 ID (SID) 与客户端的帐户域 SID 不匹配。
549 登录失败。在林中进行身份验证期间,所有与未受信任的名称空间相对应的 SID 都被筛选掉。
550 表明一种可能的拒绝服务攻击的通知消息。
551 用户启动注销过程。
552 当用户已经以不同用户登录时,可使用显式凭据成功登录到计算机。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。