事件查看器锁定/解锁事件ID？[重复]

这个问题在这里已有答案：

当用户在事件查看器或注册表中手动锁定工作站（通过按Windows+ L）时，是否可以跟踪事件？

我使用的是Windows 7家庭高级版64位。

windows events

— NMZ
source

Answers:

你将不得不做一些实验来根据你的网络配置确定准确的足迹（ad / kreberos vs sam，使用屏幕保护程序自动锁定等），但查找事件日志ID 4800表示锁定，并查找4801/4803/4624解锁/登录。

Mpre信息：http：//technet.microsoft.com/en-us/library/dd772658%28v=WS.10%29.aspx

— Frank Thomas
source

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.

Licensed under cc by-sa 3.0 with attribution required.