访问令牌项目持有个人特权和权利的信息关联到一个特定的访问令牌。重要的是要注意,这些特权是特定于特定版本的Windows。因此,文档的版本的Windows应该咨询更多的信息。数据段中的每个特权和权利接受一个布尔值表示是否授予特权。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
auditeventpolicysubcategories_item是用来保存信息审计事件策略设置在Windows系统。这些设置用于指定要监视的系统和网络活动。例如,如果credential_validation AUDIT_FAILURE元素有一个值,这意味着系统配置来记录所有成功尝试验证系统上的用户帐户。重要的是要注意,这些审计事件策略设置特定于特定版本的Windows。因此,文档版本的Windows应该咨询更多信息在每个设置。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
注意,当audinting禁用下面列出的每个实体应该设置为“AUDIT_NONE”。
| 子元素 | 弃用的信息 |
|---|---|
| kerberos_ticket_events 审计产生的事件在Kerberos票据的验证提供了一个用户帐户登录请求。 |
弃用的版本:5.11 原因:这个实体不映射到任何已知的审计事件政策子类。 备注:这个实体已经弃用,在6.0版本的语言将被删除。 |
这个条目存储审计文件的访问权限,系统访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。帮助这个测试看到GetAuditedPermissionsFromAcl () api。
| 子元素 | 弃用的信息 |
|---|---|
| trustee_name 该元素指定受托人的名字与这个特定的SACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 |
弃用的版本:5.3 原因:被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。 备注:这个实体已经弃用,在6.0版本的语言将被删除。 |
这个项目存储文件的有效权利,自主访问控制列表(DACL)结构授予指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。
| 子元素 | 弃用的信息 |
|---|---|
| trustee_name 该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 |
弃用的版本:5.3 原因:被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。 备注:这个实体已经弃用,在6.0版本的语言将被删除。 |
窗户group_item允许不同的用户和组,直接属于特定群体(由名称标识),收集。收集到的子组不会找到间接得到解决用户或群成员。如果子组需要解决,它使用sid_object应该做的。注意,用户和组元素可以出现,次数不限。如果一个用户没有找到指定的组,一个用户元素应该存在状态的“不存在”。如果有一个错误确定一组的用户,一个用户元素应该存在一个“错误”的地位。如果小组中没有指定的组,一个组元素应该存在一个“不存在”的地位。如果有一个错误决定的子组,一组,一个组元素应该存在一个“错误”的地位。
这个条目存储审计的注册表键,系统的访问权限访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。帮助这个测试看到GetAuditedPermissionsFromAcl () api。
| 子元素 | 弃用的信息 |
|---|---|
| trustee_name 该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 |
弃用的版本:5.3 原因:被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。 备注:这个实体已经弃用,在6.0版本的语言将被删除。 |
| standard_synchronize 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 |
弃用的版本:5.6 原因:这个实体已经弃用,因为注册表键不支持同步标准的存取权。 |
这个项目存储的有效权利注册表键,可自由支配的访问控制列表(DACL)结构拨款到指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。
| 子元素 | 弃用的信息 |
|---|---|
| trustee_name 该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 |
弃用的版本:5.3 原因:被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。 备注:这个实体已经弃用,在6.0版本的语言将被删除。 |
| standard_synchronize 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 |
弃用的版本:5.6 原因:这个实体已经弃用,因为注册表键不支持同步标准的存取权。 |
windows user_item允许不同的团体(由名称来标识),一个用户属于收集。
wmi_item概述了信息检查通过微软的WMI接口。