当用户在事件查看器或注册表中手动锁定站点(按Windows+ )时,是否可以跟踪该事件?L
我正在使用 Windows 7 Home Premium 64 位。
答案1
您必须进行一些实验来根据您的网络配置(ad/kreberos vs sam、使用屏幕保护程序自动锁定等)确定确切的占用空间,但请查找事件日志 ID 4800 来指示锁定,以及 4801/4803/4624 来指示解锁/登录。
更多详细信息请点击此处: http://technet.microsoft.com/en-us/library/dd772658%28v=WS.10%29.aspx
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4800