详细分析win2003九大安全事件ID(3)

　　六、审核策略更改事件

　　下面显示了由"审核策略更改"安全模板设置所生成的安全事件。

　　608：已分配用户权限。

　　609：用户权限已删除。

　　610：与其他域的信任关系已创建。

　　611：与其他域的信任关系已删除。

　　612：审核策略已更改。

　　613：Internet 协议安全 (IPSec) 策略代理已启动。

　　614：IPSec 策略代理已禁用。

　　615：IPSec 策略代理已更改。

　　616：IPSec 策略代理遇到一个可能很严重的故障。

　　617：Kerberos v5 策略已更改。

　　618：加密数据恢复策略已更改。

　　620：与其他域的信任关系已修改。

　　621：已授予帐户系统访问权限。

　　622：已删除帐户的系统访问权限。

　　623：按用户设置审核策略。

　　625：按用户刷新审核策略。

　　768：检测到两个林的名称空间元素之间有冲突。

　　注意：

　　当两个林的名称空间元素重叠时，解析属于其中一个名称空间元素的名称时，将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如，对于类型为 TopLevelName 的项，有些字段无效，如 DNS 名称、NetBIOS 名称和 SID。

　　769：已添加受信任的林信息。

　　注意：

　　当更新林信任信息并且添加了一个或多个项时，将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项，则为生成的所有事件消息指派一个唯一标识符，称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如，对于类型为 TopLevelName 的项，有些参数是无效的，如 DNS 名称、NetBIOS 名称和 SID。

　　770：已删除受信任的林信息。

　　注意：

　　请参见事件 769 的事件描述。

　　771：已修改受信任的林信息。

　　注意：

　　请参见事件 769 的事件描述。

　　805：事件日志服务读取会话的安全日志配置。

　　七、特权使用事件

　　下面显示了由"审核特权使用"安全模板设置所生成的安全事件。

　　576：指定的特权已添加到用户的访问令牌中。

　　注意：

　　当用户登录时生成此事件。

　　577：用户试图执行需要特权的系统服务操作。

　　578：特权用于已经打开的受保护对象的句柄。