SYSTEM_AUDIT_ACE Struktur (winnt.h)

Die SYSTEM_AUDIT_ACE-Struktur definiert einen Zugriffssteuerungseintrag (Access Control Entry , ACE) für die Systemzugriffssteuerungsliste (SACL), der angibt, welche Zugriffstypen Benachrichtigungen auf Systemebene verursachen. Ein Systemüberwachungs-ACE bewirkt, dass eine Überwachungsmeldung protokolliert wird, wenn ein bestimmter Treuhänder versucht, Zugriff auf ein Objekt zu erhalten. Der Treuhänder wird durch eine Sicherheits-ID (SID) identifiziert.

Syntax

typedef struct _SYSTEM_AUDIT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  DWORD       SidStart;
} SYSTEM_AUDIT_ACE;

Member

Header

ACE_HEADER Struktur, die Größe und Typ von ACE angibt. Es enthält auch Flags, die die Vererbung des ACE durch untergeordnete Objekte steuern. Das AceType-Element der ACE_HEADER-Struktur sollte auf SYSTEM_AUDIT_ACE_TYPE festgelegt werden, und das AceSize-Element sollte auf die Gesamtzahl der Bytes festgelegt werden, die für die SYSTEM_AUDIT_ACE-Struktur zugewiesen sind.

Mask

Gibt eine ACCESS_MASK-Struktur an, die die Zugriffsrechte zur Folge hat, dass Überwachungsmeldungen generiert werden. Die SUCCESSFUL_ACCESS_ACE_FLAG- und FAILED_ACCESS_ACE_FLAG-Flags im AceFlags-Member der ACE_HEADER Struktur geben an, ob Nachrichten für erfolgreiche Zugriffsversuche, fehlgeschlagene Zugriffsversuche oder beides generiert werden.

SidStart

Die erste DWORD-SID eines Treuhänders. Die restlichen Bytes der SID werden nach dem SidStart-Member im zusammenhängenden Arbeitsspeicher gespeichert. Diese SID kann mit Anwendungsdaten angefügt werden.

Ein Zugriffsversuch einer Art, die vom Mask-Member von einem beliebigen Treuhänder angegeben wird, dessen SID mit dem SidStart-Member übereinstimmt, bewirkt, dass das System eine Überwachungsmeldung generiert. Wenn eine Anwendung keine SID für diesen Member angibt, werden Überwachungsmeldungen für die angegebenen Zugriffsrechte für alle Trustees generiert.

Hinweise

Überwachungsmeldungen werden in einem Ereignisprotokoll gespeichert, das mithilfe der Windows-API-Ereignisprotokollierungsfunktionen oder mithilfe der Ereignisanzeige (Eventvwr.exe) bearbeitet werden kann.

ACE-Strukturen sollten an DWORD-Grenzen ausgerichtet werden. Alle Windows-Speicherverwaltungsfunktionen geben DWORD-ausgerichtete Handles an den Arbeitsspeicher zurück.

Wenn eine SYSTEM_AUDIT_ACE-Struktur erstellt wird, muss genügend Arbeitsspeicher zugewiesen werden, um die vollständige SID des Treuhänders im SidStart-Member und den anschließenden zusammenhängenden Arbeitsspeicher aufzunehmen.

Anforderungen

   
Unterstützte Mindestversion (Client) Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2003 [nur Desktop-Apps]
Kopfzeile winnt.h (Einschließen von Windows.h)

Weitere Informationen

ACL