| S.No | 活动ID | 描述 |
| | 4768 | 请求了Kerberos身份验证票据(TGT)。
每次签出用户凭据时都会生成此事件。它只记录在域控制器上,用于成功和失败事件。 |
| | 4771 | Kerberos 预认证失败。
每次TGT请求失败(例如,由于密码错误或过期)时,都会生成此事件。它仅在域控制器上记录,并且仅适用于故障事件。 |
| | 4720 | 创建了一个用户帐户。
每次创建新用户帐户时都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4722 | 启用了一个用户帐户。
每次启用用户或计算机帐户时都会生成此事件。对于用户对象,它记录在域控制器、成员服务器和工作站上。对于计算机,它只记录在域控制器上。 |
| | 4723 | 尝试更改帐户的密码。
每次用户尝试更改自己的密码时,都会生成此事件。对于用户对象,它记录在域控制器、成员服务器和工作站上。 |
| | 4724 | 尝试重设帐户的密码。
每次用户尝试更改另一个帐户的密码时,都会生成此事件。对于用户对象,它记录在域控制器、成员服务器和工作站上。 |
| | 4725 | 用户帐户被禁用。
每次禁用用户或计算机帐户时都会生成此事件。对于用户对象,它记录在域控制器、成员服务器和工作站上。对于计算机,它只记录在域控制器上。 |
| | 4726 | 用户帐户被删除。
每次删除用户对象时都会生成此事件。它记录在域控制器、成员服务器和工作站上 |
| | 4727 | 创建了一个支持安全的全球小组。
每次用户创建具有全局范围的安全组时,都会生成此事件。它只记录在域控制器上。 |
| | 4728 | 一名成员被添加到一个支持安全的全球组中。
每次将用户、计算机或组添加到具有全局范围的安全组时,都会生成此事件。它只记录在域控制器上。 |
| | 4744 | 创建了一个安全禁用的本地组。
每当用户创建具有域本地范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4745 | 更改了一个安全禁用的本地组。
每次用户修改具有域本地范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4746 | 一名成员被添加到一个安全禁用的本地组中。
每次将用户、计算机或组添加到具有域本地范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4747 | 一名成员被从安全禁用的本地组中删除。
每当用户、计算机或组从具有域本地范围的分发组中删除时,都会生成此事件。它只记录在域控制器上。 |
| | 4748 | 删除了一个安全禁用的本地组。
每次删除具有域本地范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4749 | 创建了一个安全禁用的全球组。
每次用户创建具有全局范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4750 | 更改了一个安全禁用的全球组。
每当用户修改具有全局范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4751 | 一名成员被添加到一个安全禁用的全局组中。
每次将用户、计算机或组添加到具有全局范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4752 | 一名成员被从安全禁用的全局组中删除。
每当用户、计算机或组从具有全局范围的分发组中删除时,都会生成此事件。它只记录在域控制器上。 |
| | 4753 | 删除了一个安全禁用的全局组。
每次删除具有全局范围的分发组时,都会生成此事件。它只记录在域控制器上。 |
| | 4803 | 屏幕保护程序被关闭。
每次用户关闭屏幕保护程序时,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4656 | 请求了对象的句柄。
每次请求对象的特定访问权限时都会生成此事件。该对象可以是文件系统、内核或注册表对象,也可以是可移动存储或设备上的文件系统对象。它记录在域控制器、成员服务器和工作站上。 |
| | 4660 | 删除了一个对象。
每次删除Active Directory对象时都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4663 | 尝试访问对象。
每次访问Active Directory对象时都会生成此事件,它会记录所使用的访问类型。它记录在域控制器、成员服务器和工作站上。 |
| | 4670 | 对象的权限已更改。
每次用户修改Active Directory对象的访问控制列表时,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4907 | 对象上的审计设置已更改。
每次更改对象(如文件或注册表项)的SACL时,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 560 | 请求了对象的句柄。
每次请求对对象进行特定访问权限时,例如文件系统、内核、注册表对象或可移动存储设备上的文件系统对象,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 563 | 打开了一个对象进行删除。
每次成功访问对象时都会生成此事件,目的是删除它。它记录在域控制器、成员服务器和工作站上。 |
| | 564 | 删除了一个对象。
每次成功删除Active Directory对象时都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 567 | 尝试访问对象。
每当用户或程序尝试打开Active Directory对象时,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4648 | 尝试使用显式凭据登录。
每次进程试图通过显式指定帐户的凭据登录帐户时,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 6272 | 网络策略服务器(NPS)授予用户访问权限。
每次NPS授予用户访问权限时,都会生成此事件。它仅在NPS上登录。 |
| | 6273 | NPS 拒绝访问用户。
每次NPS拒绝访问用户时,都会生成此事件。它仅在NPS上登录。 |
| | 6274 | NPS 丢弃了用户的请求。
每次NPS丢弃用户的请求时,都会生成此事件,因为请求的结构不符合RADIUS协议。它仅在NPS上登录。 |
| | 6275 | NPS 丢弃了用户的会计请求。
每次NPS丢弃RADIUS客户端的会计请求时,都会生成此事件,因为请求的结构不符合RADIUS协议。它仅在NPS上登录。 |
| | 6276 | NPS 隔离了用户。
每次NPS隔离用户多次身份验证失败时,都会生成此事件。它仅在NPS上登录。 |
| | 6277 | NPS授予用户访问权限,但将用户置于试用期,因为主机不符合定义的运行状况策略。
每当NPS在授予访问权限后让用户试用期时,都会生成此事件,因为主机无法满足定义的运行状况策略。它仅在NPS上登录。 |
| | 6278 | NPS授予用户访问权限,因为主机符合定义的运行状况策略。
每次NPS授予用户访问权限时都会生成此事件,因为主机符合定义的运行状况策略。它仅在NPS上登录。 |
| | 6279 | 由于多次尝试身份验证失败,NPS锁定了用户帐户。
每次NPS因重复身份验证尝试失败而锁定用户帐户时,都会生成此事件。它仅在NPS上登录。 |
| | 6280 | NPS解锁了用户帐户。
每次NPS在帐户锁定后解锁用户帐户时都会生成此事件。它仅在NPS上登录。 |
| | 303 | 客户端与资源断开连接。
每当客户端计算机上的用户断开与网络资源的连接时,都会生成此事件。它仅记录在终端服务网关(TSG)上。 |
| | 304 | 用户符合连接授权政策和资源授权策略要求,但无法连接到资源。
每当用户即使满足连接和资源授权策略后也无法连接到网络资源时,都会生成此事件。它仅记录在终端服务网关(TSG)上。 |
| | 412 | AD FS令牌已发布。
每当AD FS根据一组声明发布可信令牌以对用户进行身份验证时,都会生成此事件。它仅记录在联合服务器[安装了Active Directory Federation Services(AD FS)的Windows服务器]上。 |
| | 500 | 已签发的身份。
每次发布唯一标识以识别配置对象和合作伙伴网络地址时,都会生成此事件。它只记录在联邦服务器上。 |
| | 501 | 来电者身份。
每当该调用者身份发生令牌发布失败时,都会生成此事件。它只记录在联邦服务器上。 |
| | 299 | 令牌已发布。
每当AD FS为授权用户访问应用程序而发出必要的声明时,都会生成此事件。它只记录在联邦服务器上。 |
| | 403 | 来电者身份。
每当DNS服务器无法创建传输控制协议(TCP)套接字时,都会生成此事件。它只记录在联邦服务器上。 |
| | 1200 | 应用程序令牌成功。
每当AD FS成功为身份验证请求发布应用程序令牌时,都会生成此事件。它只记录在联邦服务器上。 |
| | 1201 | 应用程序令牌失败。
每当AD FS对身份验证请求的应用程序令牌发放失败时,都会生成此事件。它只记录在联邦服务器上。 |
| | 2093 | FSMO角色没有响应。
每当远程服务器,即灵活的单一主操作(FSMO)没有响应时,都会生成此事件。它只记录在域控制器上。 |
| | 1837 | 转移操作主角色的尝试失败了。
每当用户尝试转移FSMO角色失败时,都会生成此事件。它只记录在域控制器上。 |
| | 2089 | 自至少在接下来的天数以来,此目录分区一直没有备份。
自启用备份延迟阈值以来,每次未创建备份时都会生成此事件。它只记录在域控制器上。 |
| | 2889 | 轻量级目录访问协议(LDAP)绑定。
每次客户端启动LDAP绑定时,都会生成此事件,而无需请求验证目录服务器未配置为拒绝。它只记录在域控制器上。 |
| | 4769 | 请求了Kerberos服务票。
每当用户请求访问网络资源(如计算机)时,都会生成此事件,这会导致密钥分发中心(KDC)收到Kerberos工单授予服务(TGS)票据请求进行身份验证。它只记录在域控制器上。 |
| | 4672 | 分配给新登录的特殊特权。
每次将敏感权限分配给新的登录会话时,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4908 | 修改了特殊组的登录表。
每次将安全标识符(SID)添加到特殊组以进行审计时,都会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4798 | 列举了用户的本地组成员资格。
每当进程枚举用户所属的安全组列表时,都会生成此事件。它记录在会员服务器和工作站上。 |
| | 4729 | 一名成员被从一个支持安全的全局组中删除。
当用户、组或计算机从启用安全的全局组中删除时,会生成此事件。它只记录在域控制器上。 |
| | 4730 | 删除了一个支持安全性的全局组。
当删除启用安全性的全局组时,会生成此事件。它只记录在域控制器上。 |
| | 4731 | 创建了一个启用安全的本地组。
此事件在创建启用安全性的本地组时生成。它记录在域本地组的域控制器上,或本地SAM组的成员计算机上。 |
| | 4732 | 一名成员被添加到一个启用安全的本地组中。
当用户、组或计算机被添加到支持安全的本地组时,会生成此事件。它记录在域本地组的域控制器上,或本地SAM组的成员计算机上。 |
| | 4733 | 一名成员被从启用安全的本地组中删除。
当用户、组或计算机从启用安全的本地组中删除时,会生成此事件。它记录在域本地组的域控制器上,或本地SAM组的成员计算机上。 |
| | 4734 | 删除了一个启用安全性的本地组。
当删除启用安全性的本地组时,会生成此事件。它记录在域本地组的域控制器上,或本地SAM组的成员计算机上。 |
| | 4735 | 更改了一个启用安全的本地组。
此事件在修改启用安全的本地组时生成。它记录在域本地组的域控制器上,或本地SAM组的成员计算机上。 |
| | 4737 | 更改了一个支持安全的全球组。
当更改启用安全的全局组时,会生成此事件。它只记录在域控制器上。 |
| | 4738 | 用户帐户已更改。
此事件在修改用户对象的属性时生成。它记录在域帐户的域控制器上,在本地帐户的成员计算机上。 |
| | 4739 | 域策略已更改。
此事件在Active Directory域策略更改时生成。它记录在域控制器和成员计算机上。 |
| | 4759 | 创建了一个安全禁用的通用组。
此事件在创建通用分发组时生成。它只记录在域控制器上。 |
| | 4760 | 更改了一个安全禁用的通用组帐户。
当通用分发组更改时,会生成此事件。它只记录在域控制器上。 |
| | 4761 | 一名成员被添加到一个安全禁用的通用组中。
当Active Directory对象(如用户、组或计算机)添加到通用分发组时,会生成此事件。它只记录在域控制器上。 |
| | 4762 | 一名成员被从一个安全禁用的通用组中删除。
当Active Directory对象(如用户、组或计算机)从通用分发组中删除时,会生成此事件。它只记录在域控制器上。 |
| | 4763 | 删除了一个安全禁用的通用组。
当删除通用分发组时,会生成此事件。它只记录在域控制器上。 |
| | 4764 | 更改了组类型。
当组类型或范围更改时,会生成此事件。它只记录在域控制器上。 |
| | 4781 | 帐户名称已更改。
当用户或计算机帐户的名称(sAMAccountName属性)更改时,会生成此事件。它只记录在计算机帐户的域控制器上,以及用户帐户的域控制器和成员计算机上。 |
| | 5137 | 创建了一个目录服务对象。
此事件是在创建Active Directory对象时生成的,前提是为父对象配置了适当的SACL。它只记录在域控制器上。 |
| | 5139 | 移动了一个目录服务对象。
当Active Directory对象从一个OU移动到另一个OU时,会生成此事件。它只记录在域控制器上。 |
| | 5141 | 目录服务对象已被删除。
此事件在删除Active Directory对象时生成。它记录在域控制器和成员计算机上。 |
| | 4659 | 请求对象的句柄意图删除。
当已安装的补丁需要替换Windows打开的文件时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 6416 | 系统识别出一个新的外部设备。
当新的外部设备(如USB)连接到系统时,会生成此事件。它记录在服务器和工作站上。 |
| | 4608 | Windows正在启动。
此事件在Windows机器启动时生成。它记录在域控制器和成员计算机上。 |
| | 4609 | Windows正在关闭。
此事件是在Windows机器关机时生成的。它记录在域控制器和成员计算机上。 |
| | 1102 | 审计日志已清除。
每当清除安全日志时,都会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4614 | 安全客户经理已加载通知包。
当用户尝试更改密码时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4616 | 系统时间变了。
此事件在系统时间更改时生成。它记录在域控制器和成员计算机上。 |
| | 4704 | 分配了用户权限。
当为用户分配权限时,会生成此事件。它只记录在域控制器上。 |
| | 4705 | 用户权限被移除。
此事件在删除用户权限时生成。它只记录在域控制器上。 |
| | 4719 | 系统审计政策发生了变化。
无论“审计策略更改”子类别设置如何,当审计策略被禁用时都会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4662 | 对对象执行了操作。
当用户访问Active Directory对象时,会生成此事件。它只记录在域控制器上。 |
| | 5140 | 访问了一个网络共享对象。
此事件在访问网络共享对象时生成。它记录在域控制器和成员计算机上。 |
| | 5142 | 添加了一个网络共享对象。
每当添加网络共享对象时,都会生成此事件。它记录在域控制器和成员计算机上。 |
| | 5143 | 修改了网络共享对象。
每当修改网络共享对象时,都会生成此事件。它记录在域控制器和成员计算机上。 |
| | 5144 | 网络共享对象被删除。
每当删除网络共享对象时,都会生成此事件。它记录在域控制器和成员计算机上。 |
| | 9999 | 重命名了一个对象。
此事件在重命名Active Directory对象时生成。它记录在域控制器和成员计算机上。 |
| | 521 | 无法在安全日志中记录事件。
当Windows无法将事件写入安全事件日志时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4697 | 系统中安装了一项服务。
此事件是在系统上安装新服务时生成的。它记录在域控制器和成员计算机上。 |
| | 1100 | 事件记录服务已关闭。
此事件是在正常系统关机期间生成的,也是在 Windows 事件日志服务关闭时生成的。它记录在域控制器和成员计算机上。 |
| | 1202 | 新的证书验证成功。
当AD FS成功验证新凭据时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 1203 | 新的凭证验证错误。
当新的凭证验证在AD FS中失败时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 1210 | 外联网锁定。
当用户被锁定或被锁定的用户尝试登录AD FS时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 516 | 外联网锁定。
当用户帐户因向AD FS提交太多错误的密码而被锁定时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 410 | 外联网锁定。
此事件在AD FS身份验证请求启动后立即生成,并包含上下文标头。它记录在域控制器和成员计算机上。 |
| | 411 | 外联网锁定。
此AD FS事件在令牌验证失败时生成。它记录在域控制器和成员计算机上。 |
| | 4618 | 发生了监控的安全事件模式。
当Windows配置为根据通用标准安全审计分析要求生成告警并出现可审计事件模式时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4649 | 检测到重播攻击。
当服务器和客户端之间配置错误的网络设备发送相同的数据包时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4765 | SID历史记录已添加到帐户中。
当SID历史记录添加到Active Directory中的帐户时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4766 | 向帐户添加 SID 历史记录的尝试失败。
当尝试将SID历史记录添加到帐户时,将生成此事件。它记录在域控制器和成员计算机上。 |
| | 4799 | 列举了启用安全的地方群组成员资格。
当进程枚举计算机或设备上用户的本地安全组时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 5378 | 政策不允许请求的全权证书授权。
当WinRM双跳会话的CredSSP委托设置不正确时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 5633 | 有人请求对有线网络进行身份验证。
当网络适配器连接到新的有线网络并尝试为该网络进行802.1x身份验证时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 5632 | 请求对无线网络进行身份验证。
当网络适配器连接到新的无线网络并尝试为该网络进行802.1x身份验证时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4610 | 当地安全域性已加载一个身份验证包。
此事件在启动时为系统上的每个身份验证包生成。它记录在域控制器和成员计算机上。 |
| | 4611 | 已向当地安全局注册了一个值得信赖的登录流程。
当登录过程在当地安全管理局注册以提交可信的登录请求时,会生成此事件。它记录在域控制器和成员计算机上。 |
| | 4622 | 地方安全域性已加载一个安全包。
此事件在本地安全域性加载安全包时生成。它记录在域控制器和成员计算机上。 |
| | 7045 | 系统中安装了一项新服务。
系统中安装了一项新服务。 |
| | 4740 | 用户帐户被锁定。
此事件在用户帐户被锁定时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 4741 | 创建了一个计算机帐户。
此事件在创建新计算机对象时生成。它只记录在域控制器上。 |
| | 4742 | 计算机帐户已更改
此事件在计算机对象更改时生成。它只记录在域控制器上。 |
| | 4743 | 电脑帐户被删除。
此事件在删除计算机对象时生成。它只记录在域控制器上。 |
| | 4754 | 创建了一个支持安全的通用组。
此事件在创建通用安全组时生成。它只记录在域控制器上。 |
| | 4755 | 更改了一个支持安全的通用组。
当通用安全组更改时,会生成此事件。它只记录在域控制器上。 |
| | 4756 | 一名成员被添加到一个支持安全的通用组中。
当成员被添加到通用安全组时,会生成此事件。它只记录在域控制器上。 |
| | 4757 | 一名成员被从启用安全的通用组中删除。
当成员从通用安全组中删除时,会生成此事件。它只记录在域控制器上。 |
| | 4758 | 删除了一个支持安全的通用组。
此事件在删除通用安全组时生成。它只记录在域控制器上。 |
| | 4767 | 用户帐户已解锁。
此事件在用户帐户解锁时生成(当选中用户帐户选项卡上的解锁帐户复选框时)。它记录在域控制器、成员服务器和工作站上。 |
| | 5136 | 修改了一个目录服务对象。
此事件在修改Active Directory对象时生成。它只记录在域控制器上。 |
| | 5138 | 目录服务对象未删除。
此事件在未删除Active Directory对象时生成。它只记录在域控制器上。 |
| | 4624 | 帐户已成功登录。
当本地计算机成功登录时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4625 | 帐户登录失败。
当尝试登录本地计算机失败时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4800 | 工作站被锁定。
此事件在工作站被锁定时(当用户手动锁定工作站时,或者当工作站在一段时间不活动后自动锁定时)时生成。它仅在工作站上记录。 |
| | 4801 | 工作站已解锁。
此事件在工作站解锁时生成。它仅在工作站上记录。 |
| | 4647 | 用户发起了登录。
此事件在启动logef时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 4778 | 会话被重新连接到窗口站。
当用户重新连接到现有的终端服务会话时,或者当用户使用快速用户切换切换到现有桌面时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4779 | 会话与窗口站断开连接。
当用户断开与现有终端服务会话的连接,或者当用户使用快速用户切换离开现有桌面时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4802 | 屏幕保护程序被调用。
当工作站针对一段时间的不活动激活屏幕保护程序时,会生成此事件。它仅在工作站上记录。 |
| | 4714 | 加密数据恢复策略已更改。
当计算机的安全设置\公钥策略\加密文件系统数据恢复代理策略(通过本地安全策略或Active Directory中的组策略)时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4717 | 帐户获得了系统安全访问权限。
当登录权(例如“从网络访问此计算机”)授予帐户时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4718 | 系统安全访问已从帐户中删除。
当登录右侧(例如“从网络访问此计算机”)从帐户中删除时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4688 | 创建了一个新流程。
此事件在新进程开始时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 4689 | 进程已退出。
此事件在进程结束时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 4698 | 创建了一个计划任务。
此事件在创建新的计划任务时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 4699 | 已删除已排定的任务。
当计划任务被删除时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4700 | 已启用计划的任务。
此事件在启用计划任务时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 4701 | 已停用已安排的任务。
当计划任务被禁用时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 4702 | 已更新已安排的任务。
当计划任务更新或更改时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 1101 | 运输公司取消了审计事件。
此事件是在肮脏关机后重新启动Windows时生成的。它记录在域控制器、成员服务器和工作站上 |
| | 1104 | 安全日志现已满。
此事件在Windows安全日志满时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 1105 | 事件日志自动备份。
当Windows安全日志已满并创建新的事件日志文件时,会生成此事件(例如,当达到安全事件日志文件的最大大小并且事件日志保留方法设置为“满时存档日志,不要覆盖事件”)。它记录在域控制器、成员服务器和工作站上。 |
| | 1108 | 事件记录服务遇到错误。
当事件日志服务在处理传入事件时遇到错误时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 201 | 任务调度器成功完成了一项任务。
此事件在任务调度程序完成任务时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 202 | 任务调度程序未能完成任务。
当任务调度程序无法完成任务时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 203 | 任务调度程序未能启动任务。
当任务调度程序无法启动任务时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 204 | 网络访问保护(NAP)政策没有得到满足,因此用户无权连接到TS网关服务器。
此事件是在未满足NAP策略时生成的,因此用户无权连接到TS网关服务器。它仅在Gateway服务器上记录。 |
| | 301 | 资源授权策略要求没有得到满足,因此用户无权访问TS网关服务器。
此事件是在未满足资源授权策略要求时生成的,因此用户无权访问TS网关服务器。它仅在Gateway服务器上记录。 |
| | 302 | 用户连接到TS网关服务器。
当用户连接到TS网关服务器时,会生成此事件。它仅在Gateway服务器上记录。 |
| | 4794 | 尝试设置目录服务恢复模式管理员密码。
此事件在更改目录服务恢复模式(DSRM)管理员密码时生成。它只记录在域控制器上。 |
| | 4897 | 角色分离已启用。
此事件在AD CS服务器启动时以及角色分离实际更改时生成。它仅记录在Active Directory证书服务(AD CS)服务器上。 |
| | 4964 | 此事件在AD CS服务器启动时以及角色分离实际更改时生成。它仅记录在Active Directory证书服务(AD CS)服务器上。
当作为任何已定义特殊组成员的帐户登录时,将生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 5124 | OCSP响应器服务上更新了安全设置。
当OCSP响应器服务上更新安全设置时,会生成此事件。它仅在OCSP响应器/AD CS服务器上记录。 |
| | 2887 | LDAP签名。
当客户端计算机尝试未签名的LDAP绑定时,会生成此事件。它只记录在域控制器上。 |
| | 1644 | LDAP搜索。
当客户端针对目录进行的LDAP搜索违反廉价和/或低效的搜索阈值时,才会生成此事件(只有当您将Field Engineering reg键设置为5或更高时,才会记录此事件)。它只记录在域控制器上。 |
| | 1643 | LDAP搜索次数。
此事件记录在时间间隔内执行的LDAP搜索数量,每次在域控制器上运行垃圾收集时(只有当您将Field Engineering reg键设置为4或更高时,才会记录)。它只记录在域控制器上。 |
| | 1317 | LDAP连接超时。
当本地域控制器因超时而断开LDAP连接与指定网络地址的连接时,会生成此事件。它只记录在域控制器上。 |
| | 1458 | FSMO角色已转移。
当FSMO角色从一个域控制器传输到另一个域控制器时,会生成此事件。它只记录在域控制器上。 |
| | 2092 | FSMO复制。
当服务器是FSMO角色的所有者,但认为它无效时,会生成此事件(复制错误阻止角色的验证)。它只记录在域控制器上。 |
| | 4713 | Kerberos的政策发生了变化。
此事件在Kerberos策略更改时生成。它只记录在域控制器上。 |
| | 6005 | 活动日志服务已启动。
此事件在事件日志服务启动时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 6006 | 事件日志服务已停止。
此事件在事件日志服务停止时生成。它记录在域控制器、成员服务器和工作站上。 |
| | 6008 | 系统意外关机。
当系统意外关机时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
| | 1074 | 系统已被进程或用户关闭。
当应用程序导致系统重新启动时,或者当用户启动重新启动或关机时,会生成此事件。它记录在域控制器、成员服务器和工作站上。 |
