Мне нужно выяснить, включена ли конкретная политика безопасности на компьютере, например, audit_logon_logon, чтобы запустить определенную функциональность. В случае местной политики я могу использовать < /p>
status = LsaQueryInformationPolicy(
policyHandle,
PolicyAuditEventsInformation,
(PVOID*)&pAuditEventsInfo
);
< /code>
или
auditsetempolicy < /p>
Насколько я знаю, локальная политика может быть отменена политикой домена, я могу определить, находится ли машина в домене или нет, и я могу вычесть необходимый GPO < /p>
//{f3ccc681-b74c-4060-9f26-cd84525dca2a}
DEFINE_GUID(
AuditPolicyConfiguration,
0xf3ccc681,
0xb74c, 0x4060, 0x9f, 0x26, 0xcd, 0x84, 0x52, 0x5d, 0xca, 0x2a
);
PGROUP_POLICY_OBJECT pGPOList;
GetAppliedGPOList(GPO_LIST_FLAG_MACHINE, NULL, NULL, const_cast(&AuditPolicyConfiguration), &pGPOList)
< /code>
Но я совсем не понимаю, что можно сделать с этим GPO. В нем я могу найти путь к какой -то общей папке. Например
\ {Domain} \ sysvol \ {domain} \ Policies {D46ECCE6-DFB8-4CB8-B672-D9BC0A48CA00} \ Machine, в котором я могу найти файл, называемый GPTTMPL.INF в Microsoft \ Windows NT \ SECEDIT
, который имеет следующее Cotent.inf at Microsoft \ Windows nt \ secedit
, который имеет следующее Content: < /p> p> p> p> p> p> p> ntent: < /p> p> p> p> p> \ secedit
, который имеет следующее Content.inf: < /p> p> p> p> p> vindows nt \ secedit.[Event Audit]
AuditSystemEvents = 1
AuditLogonEvents = 3
AuditObjectAccess = 0
AuditPrivilegeUse = 0
AuditPolicyChange = 1
AuditAccountManage = 3
AuditProcessTracking = 3
AuditDSAccess = 0
AuditAccountLogon = 3
Но, возможно, есть какой -то программный способ получить эффективную ценность политики или какой -то способ получить необходимое значение от GPO?
Мне нужно выяснить, включена ли конкретная политика безопасности на компьютере, например, audit_logon_logon, чтобы запустить определенную функциональность. В случае местной политики я могу использовать < /p> [code] status = LsaQueryInformationPolicy( policyHandle, PolicyAuditEventsInformation, (PVOID*)&pAuditEventsInfo ); < /code> или auditsetempolicy < /p> Насколько я знаю, локальная политика может быть отменена политикой домена, я могу определить, находится ли машина в домене или нет, и я могу вычесть необходимый GPO < /p> //{f3ccc681-b74c-4060-9f26-cd84525dca2a} DEFINE_GUID( AuditPolicyConfiguration, 0xf3ccc681, 0xb74c, 0x4060, 0x9f, 0x26, 0xcd, 0x84, 0x52, 0x5d, 0xca, 0x2a ); PGROUP_POLICY_OBJECT pGPOList; GetAppliedGPOList(GPO_LIST_FLAG_MACHINE, NULL, NULL, const_cast(&AuditPolicyConfiguration), &pGPOList) < /code> Но я совсем не понимаю, что можно сделать с этим GPO. В нем я могу найти путь к какой -то общей папке. Например \ {Domain} \ sysvol \ {domain} \ Policies {D46ECCE6-DFB8-4CB8-B672-D9BC0A48CA00} \ Machine, в котором я могу найти файл, называемый GPTTMPL.INF в Microsoft \ Windows NT \ SECEDIT , который имеет следующее Cotent.inf at Microsoft \ Windows nt \ secedit , который имеет следующее Content: < /p> p> p> p> p> p> p> ntent: < /p> p> p> p> p> \ secedit , который имеет следующее Content.inf: < /p> p> p> p> p> vindows nt \ secedit.[Event Audit] AuditSystemEvents = 1 AuditLogonEvents = 3 AuditObjectAccess = 0 AuditPrivilegeUse = 0 AuditPolicyChange = 1 AuditAccountManage = 3 AuditProcessTracking = 3 AuditDSAccess = 0 AuditAccountLogon = 3 [/code] Но, возможно, есть какой -то программный способ получить эффективную ценность политики или какой -то способ получить необходимое значение от GPO?
Мобильная версия