Можно ли отследить событие, когда пользователь вручную заблокировал станцию (нажав Windows + L) в средстве просмотра событий или в реестре?
Я использую 64-битную Windows 7 Home Premium.
1 ответ
0
вам нужно будет поэкспериментировать, чтобы определить точную площадь, основанную на конфигурации вашей сети (ad/kreberos vs sam, автоматическая блокировка с помощью заставки и т. д.), но ищите идентификатор журнала событий 4800, чтобы указать блокировку, и 4801/4803/4624 для разблокировать / вход в систему.
Подробная информация здесь: http://technet.microsoft.com/en-us/library/dd772658%28v=WS.10%29.aspx
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4800