我查看了我的Vista机器上的系统日志。 什么是“特殊login”? 做了一个pipe理员login到我的电脑?
这是Windows 2008和Vista的新function(可能是Windows 7)。 它用于审计特殊的login,例如pipe理员或特殊组的成员。
让我引用一篇文章 :
特殊login审核子类别是Server 2008和Vista中新审核function的一部分,称为特殊组。 pipe理员可以使用此function找出某个组的成员何时login到特定的计算机。 例如,如果您的文件服务器是为组织的研究部门保留的,那么除了研究部门中访问文件服务器的用户(例如IT部门中的服务器操作员)之外,您将始终拥有其他用户。 如果您的研究部门的文件服务器存储机密信息,则部门可能会要求您生成专门logging服务器运营商的所有文件服务器login事件的审核logging。 在传统Windows审核系统中,您需要为所有用户启用审核login事件类别,这将logging系统上的所有login和注销,然后筛选与服务器操作员帐户login相关的审核事件。 在Server 2008和Vista中,每当服务器操作员组的成员login到研究部门的文件服务器时,可以使用GAP和特殊login审核子类别logging特定事件。
特殊login审核子类别使用一个名为SpecialGroups的新registry键,您可以在要执行粒度审核的服务器上创build特殊组,例如上例中的研究部门的文件服务器。 SpecialGroups键列出要为其跟踪login事件的重要组的SID。 如果特殊login审核子类别已启用(请记住,默认情况下会启用成功事件),每次属于SpecialGroups项列表中列出的组的用户login到服务器时,Windows审核系统都将生成带ID的事件4964在服务器的安全事件日志中