当删除对象的句柄时,ObjectCloseAuditAlarm函数会生成审核消息。当前版本的Windows NT不支持警报。
BOOL ObjectCloseAuditAlarm(
| LPCTSTR 【SubsystemName】, | //子系统名称的字符串地址 |
| LPVOID 【HandleId】, | //句柄标识符的地址 |
| BOOL 【GenerateOnClose】 | //标志用于审计生成 |
| ); |
参数
【SubsystemName】
指向一个以null结尾的字符串,指定调用该函数的子系统的名称,例如“DEBUG”或“WIN32”。
【HandleId】
指定一个唯一的32位值,表示客户端对象的句柄。这应该是传递给AccessCheckAndAuditAlarm或ObjectOpenAuditAlarm函数的相同值。
【GenerateOnClose】
指定在创建对象句柄时通过调用AccessCheckAndAuditAlarm或ObjectOpenAuditAlarm函数设置的标志。
返回值
如果函数成功,返回值不为零。
如果函数失败,返回值为零。要获取扩展错误信息,请调用GetLastError.
备注
ObjectCloseAuditAlarm功能要求呼叫应用具有SE_AUDIT_NAME特权。此特权的测试总是针对调用进程的主令牌执行,允许调用进程模拟客户端。
也可以看看
AccessCheck, AccessCheckAndAuditAlarm, AreAllAccessesGranted, AreAnyAccessesGranted, MapGenericMask, ObjectDeleteAuditAlarm, ObjectOpenAuditAlarm, ObjectPrivilegeAuditAlarm, PrivilegeCheck, PrivilegedServiceAuditAlarm
