auditpolmsg.dll.mui Meldinger for MMC-snapin-modul for overvåkingspolicy 8548998e3d6672eda75b3b5acb0f36da

File info

File name: auditpolmsg.dll.mui
Size: 106496 byte
MD5: 8548998e3d6672eda75b3b5acb0f36da
SHA1: 7d66c968a9b96f202b2e6af45aaaabdcbb570889
SHA256: 29051b6719e0f3e9ccd4586b8dc0786ec7bf72ec7ad0db91674870feeb34c315
Operating systems: Windows 10
Extension: MUI

Translations messages and strings

If an error occurred or the following message in Norwegian (Bokml) language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id Norwegian (Bokml) English
1Vellykket Success
2Mislykket Failure
3Vellykket og mislykket Success and Failure
4Ingen overvåking No Auditing
5Ikke konfigurert Not Configured
99Overvåkingspolicyer Audit Policies
100Systemets overvåkingspolicyer System Audit Policies
101Kontobehandling Account Management
102Overvåk behandling av brukerkonto Audit User Account Management
103Overvåk behandling av datamaskinkonto Audit Computer Account Management
104Overvåk behandling av sikkerhetsgruppe Audit Security Group Management
105Overvåk behandling av distribusjonsgruppe Audit Distribution Group Management
106Overvåk behandling av programgruppe Audit Application Group Management
107Overvåk andre kontobehandlingshendelser Audit Other Account Management Events
121På-/avlogging Logon/Logoff
122Overvåk pålogging Audit Logon
123Overvåk avlogging Audit Logoff
124Overvåk låsing av konto Audit Account Lockout
125Overvåk hovedmodus for IPsec Audit IPsec Main Mode
126Overvåk hurtigmodus for IPsec Audit IPsec Quick Mode
127Overvåk utvidet modus for IPsec Audit IPsec Extended Mode
128Overvåk spesialpålogging Audit Special Logon
129Overvåk andre påloggings-/avloggingshendelser Audit Other Logon/Logoff Events
130Overvåk nettverkspolicyserver Audit Network Policy Server
131Overvåk bruker-/sikkerhetserklæringer Audit User / Device Claims
132Overvåk gruppemedlemskap Audit Group Membership
151Policyendring Policy Change
152Overvåk overvåkingspolicyendring Audit Audit Policy Change
153Overvåk godkjenningspolicyendring Audit Authentication Policy Change
154Overvåk autorisasjonspolicyendring Audit Authorization Policy Change
155Overvåk policyendring av regelnivå for MPSSVC Audit MPSSVC Rule-Level Policy Change
156Overvåk policyendring for filtreringsplattform Audit Filtering Platform Policy Change
157Overvåk andre policyendringshendelser Audit Other Policy Change Events
181Brukte tilgangsnivåer Privilege Use
182Overvåk sensitiv tilgangsbruk Audit Sensitive Privilege Use
183Overvåk ikke-sensitiv tilgangsbruk Audit Non Sensitive Privilege Use
184Overvåk andre tilgangshendelser Audit Other Privilege Use Events
201Detaljert søking Detailed Tracking
202Overvåk prosessoppretting Audit Process Creation
203Overvåk prosessavslutning Audit Process Termination
204Overvåk DPAPI-aktivitet Audit DPAPI Activity
205Overvåk RPC-hendelser Audit RPC Events
206Kontroller PNP-aktivitet Audit PNP Activity
207Høyrejustert token for overvåking Audit Token Right Adjusted
231System System
232Overvåk endring i sikkerhetsinnstillinger Audit Security State Change
233Overvåk utvidelse av sikkerhetssystem Audit Security System Extension
234Overvåk systemintegritet Audit System Integrity
235Overvåk IPsec-driver Audit IPsec Driver
236Overvåk andre systemhendelser Audit Other System Events
261Objekttilgang Object Access
262Overvåk filsystem Audit File System
263Overvåk register Audit Registry
264Overvåk kjerneobjekt Audit Kernel Object
265Overvåk SAM Audit SAM
266Overvåk sertifiseringstjenester Audit Certification Services
267Overvåk programgenerert Audit Application Generated
268Overvåk referansebehandling Audit Handle Manipulation
269Overvåk delt filressurs Audit File Share
270Overvåk pakkedropp for filtreringsplattform Audit Filtering Platform Packet Drop
271Overvåk tilkobling for filtreringsplattform Audit Filtering Platform Connection
272Overvåk andre objekttilgangshendelser Audit Other Object Access Events
273Overvåk detaljert fildeling Audit Detailed File Share
274Overvåk flyttbare lagringsmedier Audit Removable Storage
275Overvåk oppsett av policy for sentral tilgang Audit Central Access Policy Staging
291DS-tilgang DS Access
292Overvåk katalogtjenestetilgang Audit Directory Service Access
293Overvåk katalogtjenesteendringer Audit Directory Service Changes
294Overvåk katalogtjenestereplikering Audit Directory Service Replication
295Overvåk detaljert katalogtjenestereplikering Audit Detailed Directory Service Replication
321Kontopålogging Account Logon
322Overvåk legitimasjonsvalidering Audit Credential Validation
323Overvåk billettoperasjoner for Kerberos-tjenesten Audit Kerberos Service Ticket Operations
324Overvåk andre påloggingshendelser for konto Audit Other Account Logon Events
325Overvåk Kerberos Authentication Service Audit Kerberos Authentication Service
400Konfigurasjon av avansert overvåkingspolicy Advanced Audit Policy Configuration
500Konfigurasjon av avansert overvåking Advanced Audit Configuration
501Microsoft Corporation Microsoft Corporation
502Konfigurer detaljerte overvåkingspolicyer for Windows. Configure granular audit policies for Windows.
5031.0 1.0
602Behandling av brukerkonto

Med denne policyinnstillingen kan du overvåke endringer av brukerkontoer. Hendelser omfatter følgende:
En brukerkonto blir opprettet, endret, slettet; den får nytt navn, blir deaktivert, aktivert, låst eller låst opp.
En brukerkontos passord blir angitt eller endret.
En sikkerhetsidentifikator (SID) blir lagt til i SID-loggen for en brukerkonto.
Passordet til modusen for gjenoppretting av katalogtjenester blir konfigurert.
Tillatelser på kontoer for administrative brukere blir endret.
En legitimasjon i legitimasjonsbehandling blir sikkerhetskopiert eller gjenopprettet.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre en brukerkonto. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk. Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en brukerkonto blir endret.

Volum: Lavt.

Standard: Vellykket.
User Account Management

This policy setting allows you to audit changes to user accounts. Events include the following:
A user account is created, changed, deleted; renamed, disabled, enabled, locked out, or unlocked.
A user account’s password is set or changed.
A security identifier (SID) is added to the SID History of a user account.
The Directory Services Restore Mode password is configured.
Permissions on administrative user accounts are changed.
Credential Manager credentials are backed up or restored.

If you configure this policy setting, an audit event is generated when an attempt to change a user account is made. Success audits record successful attempts and Failure audits record unsuccessful attempts. If you do not configure this policy setting, no audit event is generated when a user account changes.

Volume: Low.

Default: Success.
603Behandling av datamaskinkonto

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter endringer av datamaskinkontoer, for eksempel når en datamaskinkonto blir opprettet, endret eller slettet.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre en datamaskinkonto. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en datamaskinkonto blir endret.

Volum: Lavt.

Standard på Client-utgaver: Ingen overvåking.

Standard på Server-utgaver: Vellykket.
Computer Account Management

This policy setting allows you to audit events generated by changes to computer accounts such as when a computer account is created, changed, or deleted.

If you configure this policy setting, an audit event is generated when an attempt to change a computer account is made. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a computer account changes.

Volume: Low.

Default on Client editions: No Auditing.

Default on Server editions: Success.
604Behandling av sikkerhetsgruppe

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter endringer i sikkerhetsgrupper, slik som følgende:
En sikkerhetsgruppe blir opprettet, endret eller slettet.
Et medlem blir lagt til eller fjernet fra en sikkerhetsgruppe.
En gruppetype blir endret.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre en sikkerhetsgruppe. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en sikkerhetsgruppe blir endret.

Volum: Lavt.

Standard: Vellykket.
Security Group Management

This policy setting allows you to audit events generated by changes to security groups such as the following:
Security group is created, changed, or deleted.
Member is added or removed from a security group.
Group type is changed.

If you configure this policy setting, an audit event is generated when an attempt to change a security group is made. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a security group changes.

Volume: Low.

Default: Success.
605Behandling av distribusjonsgruppe

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter endringer i distribusjonsgrupper, slik som følgende:
En distribusjonsgruppe blir opprettet, endret eller slettet.
Et medlem blir lagt til eller fjernet fra en distribusjonsgruppe.
En distribusjonsgruppetype blir endret.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre en distribusjonsgruppe. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en distribusjonsgruppe blir endret.

Obs! Hendelser i denne underkategorien loggføres bare på domenekontrollere.

Volum: Lavt.

Standard: Ingen overvåking.
Distribution Group Management

This policy setting allows you to audit events generated by changes to distribution groups such as the following:
Distribution group is created, changed, or deleted.
Member is added or removed from a distribution group.
Distribution group type is changed.

If you configure this policy setting, an audit event is generated when an attempt to change a distribution group is made. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a distribution group changes.

Note: Events in this subcategory are logged only on domain controllers.

Volume: Low.

Default: No Auditing.
606Behandling av programgruppe

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter endringer i programgrupper, for eksempel følgende:
En programgruppe blir opprettet, endret eller slettet.
Et medlem blir lagt til eller fjernet fra en programgruppe.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre en programgruppe. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en programgruppe blir endret.

Volum: Lavt.

Standard: Ingen overvåking.
Application Group Management

This policy setting allows you to audit events generated by changes to application groups such as the following:
Application group is created, changed, or deleted.
Member is added or removed from an application group.

If you configure this policy setting, an audit event is generated when an attempt to change an application group is made. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when an application group changes.

Volume: Low.

Default: No Auditing.
607Andre kontobehandlingshendelser

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter andre brukerkontoendringer som ikke dekkes i denne kategorien, slik som følgende:
Passord-hashkoden til en brukerkonto ble åpnet. Dette skjer vanligvis under overføring av passord for verktøyet Active Directory Management.
Det ble sendt et kall til API for kontroll av passordpolicy. Kall til denne funksjonen kan være en del av et angrep når et skadelig program tester policyen for å redusere antallet forsøk på passordet under et ordboksangrep.
Endringer i standard domenegruppepolicyen under følgende gruppepolicybaner:
Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Kontopolicyer\Passordpolicy
Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Kontopolicyer\Policy for låsing av konto

Obs! Sikkerhetsovervåkingshendelsen loggføres når policyinnstillingen tas i bruk. Den inntreffer ikke når innstillingene endres.

Volum: Lavt.

Standard: Ingen overvåking.
Other Account Management Events

This policy setting allows you to audit events generated by other user account changes that are not covered in this category, such as the following:
The password hash of a user account was accessed. This typically happens during an Active Directory Management Tool password migration.
The Password Policy Checking API was called. Calls to this function can be part of an attack when a malicious application tests the policy to reduce the number of attempts during a password dictionary attack.
Changes to the Default Domain Group Policy under the following Group Policy paths:
Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy
Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy

Note: The security audit event is logged when the policy setting is applied. It does not occur at the time when the settings are modified.

Volume: Low.

Default: No Auditing.
622Overvåk påloggingshendelser

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter påloggingsforsøk på brukerkontoen på datamaskinen.
Hendelser i denne underkategorien er knyttet til opprettingen av påloggingsøkter, og inntreffer på datamaskinen som brukeren fikk tilgang til. For en interaktiv pålogging genereres sikkerhetsovervåkingshendelsen på datamaskinen der brukerkontoen ble logget på. For en nettverkspålogging, slik som å få tilgang til en delt mappe på nettverket, genereres sikkerhetsovervåkingshendelsen på datamaskinen som er vert for ressursen. Følgende hendelser omfattes:
Vellykkede påloggingsforsøk.
Mislykkede påloggingsforsøk.
Påloggingsforsøk ved hjelp av eksplisitt legitimasjon. Denne hendelsen genereres når en prosess forsøker å logge på en konto ved eksplisitt å angi den aktuelle kontoens legitimasjon. Dette skjer vanligvis ved konfigurasjon av satsvis pålogging, slik som planlagte oppgaver eller ved bruk av RUNAS-kommandoen.
Sikkerhetsidentifikatorer (SIDer) ble filtrert, og ble ikke tillatt å logge på

Volum: Lavt på en klientdatamaskin. Middels på en domenekontroller eller nettverksserver.

Standard på Client-utgaver: Vellykket.

Standard på Server-utgaver: Vellykket, Mislykket.
Audit Logon

This policy setting allows you to audit events generated by user account logon attempts on the computer.
Events in this subcategory are related to the creation of logon sessions and occur on the computer which was accessed. For an interactive logon, the security audit event is generated on the computer that the user account logged on to. For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the computer hosting the resource. The following events are included:
Successful logon attempts.
Failed logon attempts.
Logon attempts using explicit credentials. This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch logon configurations, such as scheduled tasks or when using the RUNAS command.
Security identifiers (SIDs) were filtered and not allowed to log on.

Volume: Low on a client computer. Medium on a domain controller or a network server

Default on Client editions: Success.

Default on Server editions: Success, Failure.
623Avlogging

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter avslutning av en påloggingsøkt. Disse hendelsene inntreffer på datamaskinen som brukeren fikk tilgang til. For en interaktiv avlogging genereres sikkerhetsovervåkingshendelsen på datamaskinen der brukerkontoen ble logget på.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når en påloggingsøkt avsluttes. Vellykkede forsøk på å avslutte økter registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk på å avslutte økter registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en påloggingsøkt avsluttes.

Volum: Lavt.

Standard: Vellykket.
Logoff

This policy setting allows you to audit events generated by the closing of a logon session. These events occur on the computer that was accessed. For an interactive logoff the security audit event is generated on the computer that the user account logged on to.

If you configure this policy setting, an audit event is generated when a logon session is closed. Success audits record successful attempts to close sessions and Failure audits record unsuccessful attempts to close sessions.
If you do not configure this policy setting, no audit event is generated when a logon session is closed.

Volume: Low.

Default: Success.
624Kontosperring

Denne policyinnstillingen lar deg overvåke hendelser som genereres av et mislykket forsøk på å logge på en konto som er sperret.

Hvis du konfigurerer denne policyinnstillingen, genereres en overvåkingshendelse når en konto ikke kan logge på en datamaskin fordi kontoen er sperret. Vellykkede overvåkinger registrerer vellykkede forsøk, mens mislykkede overvåkinger registrerer mislykkede forsøk.

Påloggingshendelser er grunnleggende for å forstå brukeraktivitet og oppdage potensielle angrep.

Volum: Lavt.

Standard: Vellykket.
Account Lockout

This policy setting allows you to audit events generated by a failed attempt to log on to an account that is locked out.

If you configure this policy setting, an audit event is generated when an account cannot log on to a computer because the account is locked out. Success audits record successful attempts and Failure audits record unsuccessful attempts.

Logon events are essential for understanding user activity and to detect potential attacks.

Volume: Low.

Default: Success.
625Hovedmodus for IPsec

Med denne policyinnstillingen kan du overvåke hendelser som genereres av IKE-protokollen (Internet Key Exchange) og godkjenningsprotokollen AuthIP under forhandlinger for hovedmodus.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse under en IPsec-forhandling for hovedmodus. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser under en IPsec-forhandling for hovedmodus.

Volum: Høyt.

Standard: Ingen overvåking.
IPsec Main Mode

This policy setting allows you to audit events generated by Internet Key Exchange protocol (IKE) and Authenticated Internet Protocol (AuthIP) during Main Mode negotiations.

If you configure this policy setting, an audit event is generated during an IPsec Main Mode negotiation. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated during an IPsec Main Mode negotiation.

Volume: High.

Default: No Auditing.
626Hurtigmodus for IPsec

Med denne policyinnstillingen kan du overvåke hendelser som genereres av IKE-protokollen (Internet Key Exchange) og godkjenningsprotokollen AuthIP under forhandlinger for hurtigmodus.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse under en IPsec-forhandling for hurtigmodus. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser under en IPsec-forhandling for hurtigmodus.

Volum: Høyt.

Standard: Ingen overvåking.
IPsec Quick Mode

This policy setting allows you to audit events generated by Internet Key Exchange protocol (IKE) and Authenticated Internet Protocol (AuthIP) during Quick Mode negotiations.

If you configure this policy setting, an audit event is generated during an IPsec Quick Mode negotiation. Success audits record successful attempts and Failure audits record unsuccessful attempts.If
you do not configure this policy setting, no audit event is generated during an IPsec Quick Mode negotiation.

Volume: High.

Default: No Auditing.
627Utvidet modus for IPsec

Med denne policyinnstillingen kan du overvåke hendelser som genereres av IKE-protokollen (Internet Key Exchange) og godkjenningsprotokollen AuthIP under forhandlinger for utvidet modus.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse under en IPsec-forhandling for utvidet modus. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser under en IPsec-forhandling for utvidet modus.

Volum: Høyt.

Standard: Ingen overvåking.
IPsec Extended Mode

This policy setting allows you to audit events generated by Internet Key Exchange protocol (IKE) and Authenticated Internet Protocol (AuthIP) during Extended Mode negotiations.

If you configure this policy setting, an audit event is generated during an IPsec Extended Mode negotiation. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated during an IPsec Extended Mode negotiation.

Volume: High.

Default: No Auditing.
628Spesialpålogging

Med denne policyinnstillingen kan du overvåke hendelser som genereres av spesialpålogginger, slik som følgende:
Bruk av spesialpålogging, som er en pålogging med administratorekvivalente privilegier og som kan brukes til å heve en prosess til et høyere nivå.
Pålogging av et medlem av en spesialgruppe. Ved hjelp av spesialgrupper kan du overvåke hendelser som genereres når et medlem av en bestemt gruppe har logget på nettverket. Du kan konfigurere en liste med sikkerhetsidentifikatorer (SIDer) for grupper i registret. Hvis noen av disse SIDene legges til i et token under pålogging og underkategorien er aktivert, loggføres hendelsen. Vil du ha mer informasjon om denne funksjonen, kan du lese artikkel 947223 i Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=121697).

Volum: Lavt.

Standard: Vellykket.
Special Logon

This policy setting allows you to audit events generated by special logons such as the following :
The use of a special logon, which is a logon that has administrator-equivalent privileges and can be used to elevate a process to a higher level.
A logon by a member of a Special Group. Special Groups enable you to audit events generated when a member of a certain group has logged on to your network. You can configure a list of group security identifiers (SIDs) in the registry. If any of those SIDs are added to a token during logon and the subcategory is enabled, an event is logged. For more information about this feature, see article 947223 in the Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=121697).

Volume: Low.

Default: Success.
629Andre påloggings-/avloggingshendelser

Med denne policyinnstillingen kan du overvåke andre påloggings-/avloggingsrelaterte hendelser som ikke dekkes i policyinnstillingen “På-/avlogging”, slik som følgende:
Frakoble Terminal Services-økter.
Nye Terminal Services-økter.
Låse og låse opp en arbeidsstasjon.
Aktivere en skjermsparer.
Deaktivere en skjermsparer.
Gjenkjenne et Kerberos-repetisjonsangrep, der en Kerberos-forespørsel ble mottatt to ganger med identisk informasjon. Dette kan skyldes feilkonfigurasjon av nettverket.
Tilgang til et trådløst nettverk som er gitt til en bruker- eller datamaskinkonto.
Tilgang til et kablet 802.1x-nettverk som er gitt til en bruker- eller datamaskinkonto.

Volum: Lavt.

Standard: Ingen overvåking.
Other Logon/Logoff Events

This policy setting allows you to audit other logon/logoff-related events that are not covered in the “Logon/Logoff” policy setting such as the following:
Terminal Services session disconnections.
New Terminal Services sessions.
Locking and unlocking a workstation.
Invoking a screen saver.
Dismissal of a screen saver.
Detection of a Kerberos replay attack, in which a Kerberos request was received twice with identical information. This condition could be caused by network misconfiguration.
Access to a wireless network granted to a user or computer account.
Access to a wired 802.1x network granted to a user or computer account.

Volume: Low.

Default: No Auditing.
630Nettverkspolicyserver

Med denne policyinnstillingen kan du overvåke hendelser som genereres av forespørsler om brukertilgang til RADIUS (IAS) og Beskyttelse av nettverkstilgang (NAP – Network Access Protection). Disse forespørslene kan være Tildel, Avslå, Forkast, Karantene, Lås og Lås opp.
Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse for hver enkelt forespørsel om brukertilgang til IAS og NAP. Vellykkede forespørsler om brukertilgang registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, vil ikke forespørsler om brukertilgang til IAS og NAP bli overvåket.

Volum: Middels eller høyt på NPS- og IAS-server. Ingen volumer på andre datamaskiner.

Standard: Vellykket, Mislykket.
Network Policy Server

This policy setting allows you to audit events generated by RADIUS (IAS) and Network Access Protection (NAP) user access requests. These requests can be Grant, Deny, Discard, Quarantine, Lock, and Unlock.
If you configure this policy setting, an audit event is generated for each IAS and NAP user access request. Success audits record successful user access requests and Failure audits record unsuccessful attempts.
If you do not configure this policy settings, IAS and NAP user access requests are not audited.

Volume: Medium or High on NPS and IAS server. No volume on other computers.

Default: Success, Failure.
631Bruker-/sikkerhetserklæringer

Ved hjelp av denne policyen kan du overvåke informasjon om bruker- og sikkerhetserklæringer i brukerens påloggingstoken. Hendelser i denne underkategorien genereres på datamaskinen der en påloggingsøkt opprettes. Er det snakk om en interaktiv pålogging, genereres sikkerhetsovervåkingshendelsen på datamaskinen som brukeren logget seg på. Er det snakk om en nettverkspålogging, for eksempel tilgang til en delt mappe i nettverket, genereres sikkerhetsovervåkingshendelsen på datamaskinen som er vert for ressursen.

Brukererklæringer legges til i et påloggingstoken når erklæringer er inkludert i en brukers kontoattributter i Active Directory. Sikkerhetserklæringer legges til i påloggingstokenet når erklæringer er inkludert i en enhets datamaskinkontoattributter i Active Directory. I tillegg må sammensatt identitet være aktivert for domenet og på datamaskinen der brukeren logget seg på.

Når denne innstillingen er konfigurert, genereres det én eller flere sikkerhetsovervåkingshendelser for hver vellykkede pålogging. Det genereres flere hendelser hvis informasjonen om bruker- og sikkerhetserklæringer ikke får plass i én enkelt sikkerhetsovervåkingshendelse.

Volum: Lavt på en klientdatamaskin. Middels på en domenekontroller eller nettverksserver

Standard: Ingen overvåking.
User / Device Claims

This policy allows you to audit user and device claims information in the user's logon token. Events in this subcategory are generated on the computer on which a logon session is created. For an interactive logon, the security audit event is generated on the computer that the user logged on to. For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the computer hosting the resource.

User claims are added to a logon token when claims are included with a user's account attributes in Active Directory. Device claims are added to the logon token when claims are included with a device's computer account attributes in Active Directory. In addition, compound identity must be enabled for the domain and on the computer where the user logged on.

When this setting is configured, one or more security audit events are generated for each successful logon. You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Multiple events are generated if the user and device claims information cannot fit in a single security audit event.

Volume: Low on a client computer. Medium on a domain controller or a network server

Default: No Auditing.
632Gruppemedlemskap

Denne policyen lar deg overvåke informasjon om gruppemedlemskap i brukerens påloggingstoken. Hendelsene i denne underkategorien genereres på datamaskinen økten der opprettes. For en interaktiv pålogging genereres sikkerhetsovervåkningshendelsen på datamaskinen som brukeren er logget på. For en nettverkspålogging, for eksempel tilgang til en delt mappe på nettverket, genereres sikkerhetsovervåkningshendelsen på datamaskinen som er vert for ressursen.

Når denne policyen er konfigurert, genereres én eller flere sikkerhetshendelser for hver vellykkede pålogging. Du må også aktivere innstillingen Overvåk pålogging under Konfigurasjon av avansert overvåkningspolicy\Systemovervåkingpolicyer\Pålogging/avlogging. Flere hendelser genereres hvis gruppemedlemskapsiinformasjonen ikke får plass i en enkelt sikkerhetsovervåkningshendelse.

Volum: Lavt på en klientdatamaskin. Middels på en domenekontroller eller en nettverksserver

Standard: Ingen overvåking.
Group Membership

This policy allows you to audit the group memberhsip information in the user's logon token. Events in this subcategory are generated on the computer on which a logon session is created. For an interactive logon, the security audit event is generated on the computer that the user logged on to. For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the computer hosting the resource.

When this setting is configured, one or more security audit events are generated for each successful logon. You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Multiple events are generated if the group memberhsip information cannot fit in a single security audit event.

Volume: Low on a client computer. Medium on a domain controller or a network server

Default: No Auditing.
652Overvåk policyendringer

Med denne policyinnstillingen kan du overvåke endringer i innstillingene for sikkerhetsovervåkingspolicyen, slik som følgende:
Innstillinger for tillatelser og overvåkingsinnstillinger på overvåkingspolicyobjektet
Endringer i systemets overvåkingspolicy
Registrering av kilder for sikkerhetshendelser
Avregistrering av kilder for sikkerhetshendelser
Endringer i overvåkingsinnstillingene per bruker
Endringer i verdien av CrashOnAuditFail
Endringer i systemets tilgangskontrolliste på et filsystem eller registerobjekt
Endringer i listen med spesialgrupper

Obs! Overvåking av endringer i systemets tilgangskontrolliste (SACL) gjøres når en SACL endres for et objekt og policyendringskategorien aktiveres. Endringer i vilkårlig tilgangskontrolliste (DACL) og eierskap overvåkes når objekttilgangsovervåking blir aktivert og objektets SACL konfigureres for overvåking av endringer i DACL/eierskap.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på ekstern RPC-tilkobling. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det gjøres forsøk på ekstern RPC-tilkobling.

Volum: Lavt.

Standard: Vellykket.
Audit Policy Change

This policy setting allows you to audit changes in the security audit policy settings such as the following:
Settings permissions and audit settings on the Audit Policy object.
Changes to the system audit policy.
Registration of security event sources.
De-registration of security event sources.
Changes to the per-user audit settings.
Changes to the value of CrashOnAuditFail.
Changes to the system access control list on a file system or registry object.
Changes to the Special Groups list.

Note: System access control list (SACL) change auditing is done when a SACL for an object changes and the policy change category is enabled. Discretionary access control list (DACL) and ownership changes are audited when object access auditing is enabled and the object's SACL is configured for auditing of DACL/Owner change.

If you configure this policy setting, an audit event is generated when a remote RPC connection is attempted. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a remote RPC connection is attempted.

Volume: Low.

Default: Success.
653Godkjenningspolicyendring

Med denne policyinnstillingen kan du overvåke hendelser som genereres av endringer i godkjenningspolicyen, slik som følgende:
Oppretting av skog- og domeneklareringer
Endring av skog- og domeneklareringer.
Fjerning av skog- og domeneklareringer.
Endringer i Kerberos-policy under Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Kontopolicyer\Kerberos-policy.
Tildeling av følgende brukerrettigheter til en bruker eller gruppe:
Koble til denne datamaskinen fra nettverket.
Tillat lokal pålogging.
Tillat pålogging via Terminal Services.
Logg på som en satsvis jobb.
Logg på som en tjeneste.
Navneområdekollisjon. Det er for eksempel når en ny klarering har samme navn som et eksisterende navneområde.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre godkjenningspolicyen. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når godkjenningspolicyen endres.

Obs! Sikkerhetsovervåkingshendelsen loggføres når gruppepolicyen tas i bruk. Den inntreffer ikke når innstillingene endres.

Volum: Lavt.

Standard: Vellykket.
Authentication Policy Change

This policy setting allows you to audit events generated by changes to the authentication policy such as the following:
Creation of forest and domain trusts.
Modification of forest and domain trusts.
Removal of forest and domain trusts.
Changes to Kerberos policy under Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy.
Granting of any of the following user rights to a user or group:
Access This Computer From the Network.
Allow Logon Locally.
Allow Logon Through Terminal Services.
Logon as a Batch Job.
Logon a Service.
Namespace collision. For example, when a new trust has the same name as an existing namespace name.

If you configure this policy setting, an audit event is generated when an attempt to change the authentication policy is made. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when the authentication policy is changed.

Note: The security audit event is logged when the group policy is applied. It does not occur at the time when the settings are modified.

Volume: Low.

Default: Success.
654Autorisasjonspolicyendring

Med denne policyinnstillingen kan du overvåke hendelser som genereres av endringer i autorisasjonspolicyen, for eksempel følgende:
Tildeling av brukerrettigheter (privilegier), for eksempel SeCreateTokenPrivilege, som ikke overvåkes via underkategorien Godkjenningspolicyendring
Fjerning av brukerrettigheter (privilegier), for eksempel SeCreateTokenPrivilege, som ikke overvåkes via underkategorien Godkjenningspolicyendring
Endringer i EFS-policyen (Encrypted File System).
Endringer i ressursattributtene for et objekt.
Endringer i sentraltilgangspolicyen (CAP) som brukes for et objekt.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre godkjenningspolicyen. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når godkjenningspolicyen endres.

Volum: Lavt.

Standard: Ingen overvåking.
Authorization Policy Change

This policy setting allows you to audit events generated by changes to the authorization policy such as the following:
Assignment of user rights (privileges), such as SeCreateTokenPrivilege, that are not audited through the “Authentication Policy Change” subcategory.
Removal of user rights (privileges), such as SeCreateTokenPrivilege, that are not audited through the “Authentication Policy Change” subcategory.
Changes in the Encrypted File System (EFS) policy.
Changes to the Resource attributes of an object.
Changes to the Central Access Policy (CAP) applied to an object.

If you configure this policy setting, an audit event is generated when an attempt to change the authorization policy is made. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when the authorization policy changes.

Volume: Low.

Default: No Auditing.
655Policyendring av regelnivå for MPSSVC

Med denne policyinnstillingen kan du overvåke hendelser som genereres av endringer i policyreglene som brukes av Microsoft Protection Service (MPSSVC). Denne tjenesten brukes av Windows-brannmuren. Hendelser omfatter følgende:
Rapportering av aktive policyer når Windows-brannmuren startes.
Endringer i reglene for Windows-brannmuren.
Endringer i unntakslisten for Windows-brannmuren.
Endringer i innstillingene for Windows-brannmuren.
Regler som ignoreres eller ikke brukes av Windows-brannmuren.
Endringer i gruppepolicyinnstillingene for Windows-brannmuren.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre policyregler som brukes av MPSSVC. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser etter endringer i policyregler som brukes av MPSSVC.

Volum: Lavt.

Standard: Ingen overvåking.
MPSSVC Rule-Level Policy Change

This policy setting allows you to audit events generated by changes in policy rules used by the Microsoft Protection Service (MPSSVC). This service is used by Windows Firewall. Events include the following:
Reporting of active policies when Windows Firewall service starts.
Changes to Windows Firewall rules.
Changes to Windows Firewall exception list.
Changes to Windows Firewall settings.
Rules ignored or not applied by Windows Firewall Service.
Changes to Windows Firewall Group Policy settings.

If you configure this policy setting, an audit event is generated by attempts to change policy rules used by the MPSSVC. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated by changes in policy rules used by the MPSSVC.

Volume: Low.

Default: No Auditing.
656Policyendring for filtreringsplattform

Med denne policyinnstillingen kan du overvåke hendelser som genereres av endringer i Windows Filterplattform (WFP), slik som følgende:
Status for IPsec-tjenester
Endringer i policyinnstillinger for IPsec
Endringer i policyinnstillinger for Windows-brannmuren
Endringer i WFP-leverandører og -motor

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre WFP. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det gjøres endringer i WFP.

Volum: Lavt.

Standard: Ingen overvåking.
Filtering Platform Policy Change

This policy setting allows you to audit events generated by changes to the Windows Filtering Platform (WFP) such as the following:
IPsec services status.
Changes to IPsec policy settings.
Changes to Windows Firewall policy settings.
Changes to WFP providers and engine.

If you configure this policy setting, an audit event is generated when a change to the WFP is attempted. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a change occurs to the WFP.

Volume: Low.

Default: No Auditing.
657Andre policyendringshendelser

Denne policyinnstillingen lar deg overvåke hendelser generert av andre sikkerhetsendringer i policyen som ikke overvåkes i kategorien policyendring, for eksempel følgende:
Trusted Platform Module (TPM)-konfigurasjonsendringer.
Kryptografiske egentester i kjernemodus.
Kryptografileverandøroperasjoner.
Operasjoner i eller endringer av kryptografikonteksten.
Endringer i policyer for sentral tilgang (CAP-er).
Endringer i konfigurasjonsdata for oppstart (BCD).

Volum: lavt.

Standard: ingen overvåking.
Other Policy Change Events

This policy setting allows you to audit events generated by other security policy changes that are not audited in the policy change category, such as the following:
Trusted Platform Module (TPM) configuration changes.
Kernel-mode cryptographic self tests.
Cryptographic provider operations.
Cryptographic context operations or modifications.
Applied Central Access Policies (CAPs) changes.
Boot Configuration Data (BCD) modifications.

Volume: Low.

Default: No Auditing.
682Sensitiv tilgangsbruk

Med denne policyinnstillingen kan du overvåke hendelser som genereres når sensitiv tilgang (brukerrettigheter) brukes, slik som følgende:
En tjeneste med tilgangsnivå blir kalt opp.
Én av følgende tilganger blir kalt opp:
Opptre som en del av operativsystemet.
Sikkerhetskopiere filer og kataloger.
Opprette tokenobjekt.
Feilsøke programmer.
Gjør det mulig for datamaskin og brukerkontoer å bli klarert for delegering.
Generere sikkerhetskontroller.
Representer klient etter godkjenning.
Laste inn og ut enhetsdrivere.
Behandle overvåking og sikkerhetslogg.
Endre miljøverdier for fastvare.
Erstatte prosessnivåtoken.
Gjenopprette filer og kataloger.
Ta eierskap over filer eller andre objekter.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det sendes forespørsler om sensitiv tilgang. Vellykkede forespørsler registreres i Overvåking av vellykkede forsøk, og mislykkede forespørsler registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det sendes forespørsler om sensitiv tilgang.

Volum: Høyt.
Sensitive Privilege Use

This policy setting allows you to audit events generated when sensitive privileges (user rights) are used such as the following:
A privileged service is called.
One of the following privileges are called:
Act as part of the operating system.
Back up files and directories.
Create a token object.
Debug programs.
Enable computer and user accounts to be trusted for delegation.
Generate security audits.
Impersonate a client after authentication.
Load and unload device drivers.
Manage auditing and security log.
Modify firmware environment values.
Replace a process-level token.
Restore files and directories.
Take ownership of files or other objects.

If you configure this policy setting, an audit event is generated when sensitive privilege requests are made. Success audits record successful requests and Failure audits record unsuccessful requests.
If you do not configure this policy setting, no audit event is generated when sensitive privilege requests are made.

Volume: High.
683Ikke-sensitiv tilgangsbruk

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter bruk av ikke-sensitiv tilgang (brukerrettigheter).
Følgende tilganger er ikke-sensitive:
Få tilgang til legitimasjonsbehandling som klarert oppringer.
Koble til denne datamaskinen fra nettverket.
Legge til arbeidsstasjoner i domene.
Justere minnekvoter for en prosess.
Tillat lokal pålogging.
Tillat pålogging via Terminal Services.
Hopp over kontroll av traversering.
Stille systemklokken.
Opprette en sidevekslingsfil.
Opprett globale objekter.

Opprette permanente, delte objekter.
Opprette symbolske koblinger.
Nekt tilgang til denne datamaskinen fra nettverket.
Nekt pålogging som en satsvis jobb.
Nekt pålogging som en tjeneste.
Nekt lokal pålogging.
Nekt pålogging gjennom Terminal Services.
Fremtving avslutning fra et eksternt system.
Øke arbeidssett for prosess.
Øke planleggingsprioritet.
Låse sider i minnet.
Logg på som en satsvis jobb.
Logg på som en tjeneste.
Endre en objektetikett.
Utfør vedlikeholdsoppgaver på volum.
Enkeltprosess for profil.
Systemytelse for profil.
Fjern datamaskinen fra dokkingstasjon.
Slå av systemet.
Synkroniser data fra katalogtjenesten.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når en ikke-sensitiv tilgang blir kalt. Vellykkede kall registreres i Overvåking av vellykkede forsøk, og mislykkede kall registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en ikke-sensitiv tilgang blir kalt.

Volum: Svært høyt.
Non Sensitive Privilege Use

This policy setting allows you to audit events generated by the use of non-sensitive privileges (user rights).
The following privileges are non-sensitive:
Access Credential Manager as a trusted caller.
Access this computer from the network.
Add workstations to domain.
Adjust memory quotas for a process.
Allow log on locally.
Allow log on through Terminal Services.
Bypass traverse checking.
Change the system time.
Create a pagefile.
Create global objects.

Create permanent shared objects.
Create symbolic links.
Deny access this computer from the network.
Deny log on as a batch job.
Deny log on as a service.
Deny log on locally.
Deny log on through Terminal Services.
Force shutdown from a remote system.
Increase a process working set.
Increase scheduling priority.
Lock pages in memory.
Log on as a batch job.
Log on as a service.
Modify an object label.
Perform volume maintenance tasks.
Profile single process.
Profile system performance.
Remove computer from docking station.
Shut down the system.
Synchronize directory service data.

If you configure this policy setting, an audit event is generated when a non-sensitive privilege is called. Success audits record successful calls and Failure audits record unsuccessful calls.
If you do not configure this policy setting, no audit event is generated when a non-sensitive privilege is called.

Volume: Very High.
684Ikke i bruk. Not used.
702Prosessopprettelse

Med denne policyinnstillingen kan du overvåke hendelser som genereres når en prosess opprettes eller starter. Navnet på programmet eller brukeren som opprettet prosessen, overvåkes også.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det opprettes en prosess. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det opprettes en prosess.

Volum: Avhenger av hvordan datamaskinen brukes.
Process Creation

This policy setting allows you to audit events generated when a process is created or starts. The name of the application or user that created the process is also audited.

If you configure this policy setting, an audit event is generated when a process is created. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a process is created.

Volume: Depends on how the computer is used.
703Prosessavslutning

Med denne policyinnstillingen kan du overvåke hendelser som genereres når en prosess avsluttes.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når en prosess avsluttes. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en prosess avsluttes.

Volum: Avhenger av hvordan datamaskinen brukes.
Process Termination

This policy setting allows you to audit events generated when a process ends.

If you configure this policy setting, an audit event is generated when a process ends. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a process ends.

Volume: Depends on how the computer is used.
704DPAPI-aktivitet

Med denne policyinnstillingen kan du overvåke hendelser som genereres når forespørsler om kryptering eller dekryptering sendes til programgrensesnittet for databeskyttelse (DPAPI). DPAPI brukes til å beskytte hemmelig informasjon, slik som lagret passord og nøkkelinformasjon. Hvis du vil ha mer informasjon om DPAPI, kan du se https://go.microsoft.com/fwlink/?LinkId=121720.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det sendes en forespørsel om kryptering eller dekryptering til DPAPI. Vellykkede forespørsler registreres i Overvåking av vellykkede forsøk, og mislykkede forespørsler registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det sendes en forespørsel om kryptering eller dekryptering til DPAPI.

Volum: Lavt.
DPAPI Activity

This policy setting allows you to audit events generated when encryption or decryption requests are made to the Data Protection application interface (DPAPI). DPAPI is used to protect secret information such as stored password and key information. For more information about DPAPI, see https://go.microsoft.com/fwlink/?LinkId=121720.

If you configure this policy setting, an audit event is generated when an encryption or decryption request is made to DPAPI. Success audits record successful requests and Failure audits record unsuccessful requests.
If you do not configure this policy setting, no audit event is generated when an encryption or decryption request is made to DPAPI.

Volume: Low.
705RPC-hendelser

Med denne policyinnstillingen kan du overvåke innkommende tilkoblinger til eksternt prosedyrekall (RPC).

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på en ekstern RPC-tilkobling. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det gjøres forsøk på en ekstern RPC-tilkobling.

Volum: Høyt på RPC-servere.
RPC Events

This policy setting allows you to audit inbound remote procedure call (RPC) connections.

If you configure this policy setting, an audit event is generated when a remote RPC connection is attempted. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a remote RPC connection is attempted.

Volume: High on RPC servers.
706PNP-aktivitet

Denne policyinnstillingen lar deg overvåke når plug and play oppdager et flyttbart medium.

Hvis du konfigurerer denne policyinnstillingen, genereres en hendelse når plug and play oppdager en ekstern enhet. Bare vellykkede overvåkninger registreres for denne kategorien.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres ingen hendelse når en ekstern enhet oppdages av plug and play.

Volum: lavt
PNP Activity

This policy setting allows you to audit when plug and play detects an external device.

If you configure this policy setting, an audit event is generated whenever plug and play detects an external device. Only Success audits are recorded for this category.
If you do not configure this policy setting, no audit event is generated when an external device is detected by plug and play.

Volume: Low
707Token for høyrejustering av hendelse

Ved hjelp av denne policyinnstillingen kan du overvåke hendelser som er generert, ved å justere rettighetene for en token.

Volum: Høyt.

Standard: Ingen overvåking.
Token Right Adjustment Event

This policy setting allows you to audit events generated by adjusting the privileges of a token.

Volume: High.

Default: No Auditing.
732Endring i sikkerhetsinnstillinger

Med denne policyinnstillingen kan du overvåke hendelser som genereres av endringer i sikkerhetsinnstillingene til datamaskinen, slik som følgende hendelser:
Oppstart og avslutning på datamaskinen
Stille systemklokken
Gjenopprette systemet etter CrashOnAuditFail, som loggføres etter at systemet startes på nytt når hendelsesloggen for sikkerhet er full og registeroppføringen CrashOnAuditFail blir konfigurert.

Volum: Lavt.

Standard: Vellykket.
Security State Change

This policy setting allows you to audit events generated by changes in the security state of the computer such as the following events:
Startup and shutdown of the computer.
Change of system time.
Recovering the system from CrashOnAuditFail, which is logged after a system restarts when the security event log is full and the CrashOnAuditFail registry entry is configured.

Volume: Low.

Default: Success.
733Utvidelse av sikkerhetssystem

Med denne policyinnstillingen kan du overvåke hendelser som er knyttet til tjenester eller utvidelser av sikkerhetssystemet, slik som følgende:
En utvidelse av sikkerhetssystem, for eksempel en godkjenning, varsling eller sikkerhetspakke, lastes inn og registreres ved hjelp av den lokale sikkerhetsinstansen (LSA). Den brukes til å godkjenne påloggingsforsøk, sende forespørsler om pålogging, samt endringer i konto eller passord. Eksempler på utvidelser av sikkerhetssystem er Kerberos og NTLM.
En tjeneste installeres og registreres med Tjenestekontrollbehandling. Overvåkingsloggen inneholder informasjon om tjenestenavnet, binær, type, starttype og tjenestekonto.
Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å laste inn en utvidelse av sikkerhetssystemet. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det gjøres forsøk på å laste inn en utvidelse av sikkerhetssystemet.

Volum: Lavt. Hendelser for utvidelse av sikkerhetssystem genereres oftere på domenekontrollere enn på klientdatamaskiner eller medlemsservere.

Standard: Ingen overvåking.
Security System Extension

This policy setting allows you to audit events related to security system extensions or services such as the following:
A security system extension, such as an authentication, notification, or security package is loaded and is registered with the Local Security Authority (LSA). It is used to authenticate logon attempts, submit logon requests, and any account or password changes. Examples of security system extensions are Kerberos and NTLM.
A service is installed and registered with the Service Control Manager. The audit log contains information about the service name, binary, type, start type, and service account.
If you configure this policy setting, an audit event is generated when an attempt is made to load a security system extension. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when an attempt is made to load a security system extension.

Volume: Low. Security system extension events are generated more often on a domain controller than on client computers or member servers.

Default: No Auditing.
734Systemintegritet

Med denne policyinnstillingen kan du overvåke hendelser som ikke overholder integriteten til sikkerhetsdelsystemet, slik som følgende:
Hendelser som ikke kunne skrives i hendelsesloggen fordi det oppstod et problem med overvåkingssystemet.
En prosess som bruker porten for et lokalt prosedyrekall (LPC) som ikke er gyldig, i et forsøk på å representere en klient ved å svare, lese eller skrive til eller fra adresseområdet til en klient.
Oppdagelsen av et eksternt prosedyrekall (RPC) som bryter med systemintegriteten.
Oppdagelsen av en hash-kodeverdi til en kjørbar fil som ifølge kodeintegritet ikke er gyldig.
Kryptografiske operasjoner som bryter med systemintegriteten.

Volum: Lavt.

Standard: Vellykket, Mislykket.
System Integrity

This policy setting allows you to audit events that violate the integrity of the security subsystem, such as the following:
Events that could not be written to the event log because of a problem with the auditing system.
A process that uses a local procedure call (LPC) port that is not valid in an attempt to impersonate a client by replying, reading, or writing to or from a client address space.
The detection of a Remote Procedure Call (RPC) that compromises system integrity.
The detection of a hash value of an executable file that is not valid as determined by Code Integrity.
Cryptographic operations that compromise system integrity.

Volume: Low.

Default: Success, Failure.
735IPsec-driver

Med denne policyinnstillingen kan du overvåke hendelser som genereres av IPsec-filterdriveren, slik som følgende:
Oppstart og avslutning av IPsec-tjenestene.
Nettverkspakker ble forkastet fordi integritetskontroll mislyktes.
Nettverkspakker ble forkastet fordi repetisjonskontroll mislyktes.
Nettverkspakker ble forkastet fordi formatet var ren tekst.
Nettverkspakker ble mottatt med ugyldig sikkerhetsparameterindeks (SPI). Dette kan indikere at nettverkskortet ikke fungerer som det skal, eller at driveren må oppdateres.
Ikke i stand til å behandle IPsec-filtre.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse under en operasjon med IPsec-filterdriver. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser under en operasjon med IPSec-filterdriver.

Volum: Lavt.

Standard: Ingen overvåking.
IPsec Driver

This policy setting allows you to audit events generated by the IPsec filter driver such as the following:
Startup and shutdown of the IPsec services.
Network packets dropped due to integrity check failure.
Network packets dropped due to replay check failure.
Network packets dropped due to being in plaintext.
Network packets received with incorrect Security Parameter Index (SPI). This may indicate that either the network card is not working correctly or the driver needs to be updated.
Inability to process IPsec filters.

If you configure this policy setting, an audit event is generated on an IPsec filter driver operation. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated on an IPSec filter driver operation.

Volume: Low.

Default: No Auditing.
736Andre systemhendelser

Med denne policyinnstillingen kan du overvåke følgende hendelser:
Oppstart og avslutning av Windows-brannmuren og -driveren
Behandling av sikkerhetspolicy av Windows-brannmuren
Kryptografisk nøkkelfil og overføringsoperasjoner

Volum: Lavt.

Standard: Vellykket, Mislykket.
Other System Events

This policy setting allows you to audit any of the following events:
Startup and shutdown of the Windows Firewall service and driver.
Security policy processing by the Windows Firewall Service.
Cryptography key file and migration operations.

Volume: Low.

Default: Success, Failure.
762Filsystem

Med denne policyinnstillingen kan du overvåke forsøk fra brukere på å få tilgang til filsystemobjekter. Det genereres bare en sikkerhetsovervåkingshendelse for objekter der systemets tilgangskontrollister (SACLer) er angitt, og bare hvis påkrevd tilgangstype, for eksempel Skriv, Les eller Endre, og kontoen som fremmer forespørselen, samsvarer med innstillingene i SACLen. Hvis du vil ha mer informasjon om hvordan du aktiverer overvåking av objekttilgang, kan du se https://go.microsoft.com/fwlink/?LinkId=122083.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse hver gang en konto får tilgang til et filsystemobjekt med samsvarende SACL. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en konto får tilgang til et filsystemobjekt med samsvarende SACL.

Obs! Du kan angi en SACL på et filsystemobjekt ved hjelp av kategorien Sikkerhet i objektets dialogboks Egenskaper.

Volum: Avhenger av hvordan filsystem-SACLene er konfigurert.
File System

This policy setting allows you to audit user attempts to access file system objects. A security audit event is generated only for objects that have system access control lists (SACL) specified, and only if the type of access requested, such as Write, Read, or Modify and the account making the request match the settings in the SACL. For more information about enabling object access auditing, see https://go.microsoft.com/fwlink/?LinkId=122083.

If you configure this policy setting, an audit event is generated each time an account accesses a file system object with a matching SACL. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when an account accesses a file system object with a matching SACL.

Note: You can set a SACL on a file system object using the Security tab in that object's Properties dialog box.

Volume: Depends on how the file system SACLs are configured.
763Register

Med denne policyinnstillingen kan du overvåke forsøk på å få tilgang til registerobjekter. Det genereres bare en sikkerhetsovervåkingshendelse for objekter der systemets tilgangskontrollister (SACLer) er angitt, og bare hvis påkrevd tilgangstype, for eksempel Les, Skriv eller Endre, og kontoen som fremmer forespørselen, samsvarer med innstillingene i SACLen.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse hver gang en konto får tilgang til et registerobjekt med samsvarende SACL. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en konto får tilgang til et registerobjekt med samsvarende SACL.

Obs! Du kan angi en SACL på et registerobjekt ved hjelp av dialogboksen Tillatelser.

Volum: Avhenger av hvordan register-SACLer er konfigurert.
Registry

This policy setting allows you to audit attempts to access registry objects. A security audit event is generated only for objects that have system access control lists (SACLs) specified, and only if the type of access requested, such as Read, Write, or Modify, and the account making the request match the settings in the SACL.

If you configure this policy setting, an audit event is generated each time an account accesses a registry object with a matching SACL. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when an account accesses a registry object with a matching SACL.

Note: You can set a SACL on a registry object using the Permissions dialog box.

Volume: Depends on how registry SACLs are configured.
764Kjerneobjekt

Med denne policyinnstillingen kan du overvåke forsøk på å få tilgang til kjernen, som omfatter mutexer og semaforer.
Det er bare kjerneobjekter med en samsvarende systemtilgangskontrolliste (SACL) som genererer sikkerhetsovervåkingshendelser.

Obs! Overvåkingen: Overvåking av tilgangen til policyinnstillingen til globale systemobjekter kontrollerer standard SACL for kjerneobjekter.

Volum: Høyt hvis overvåkingstilgang for globale systemobjekter er aktivert.
Kernel Object

This policy setting allows you to audit attempts to access the kernel, which include mutexes and semaphores.
Only kernel objects with a matching system access control list (SACL) generate security audit events.

Note: The Audit: Audit the access of global system objects policy setting controls the default SACL of kernel objects.

Volume: High if auditing access of global system objects is enabled.
765SAM

Med denne policyinnstillingen kan du overvåke hendelser som genereres av forsøk på å få tilgang til objekter i Sikkerhetskontobehandling (SAM).
SAM-objekter omfatter følgende:
SAM_ALIAS - En lokal gruppe.
SAM_GROUP - En gruppe som ikke er en lokal gruppe.
SAM_USER - En brukerkonto.
SAM_DOMAIN - Et domene.
SAM_SERVER - En datamaskinkonto.
Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å få tilgang til et kjerneobjekt. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det gjøres forsøk på å få tilgang til et kjerneobjekt.
Obs! Det er bare systemets tilgangskontrolliste (SACL) for SAM_SERVER som kan endres.
Volum: Høyt på domenekontrollere. Hvis du vil ha mer informasjon om hvordan du reduserer antallet hendelser som genereres i denne underkategorien, kan du lese artikkel 841001 i Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=121698).
SAM

This policy setting allows you to audit events generated by attempts to access to Security Accounts Manager (SAM) objects.
SAM objects include the following:
SAM_ALIAS -- A local group.
SAM_GROUP -- A group that is not a local group.
SAM_USER – A user account.
SAM_DOMAIN – A domain.
SAM_SERVER – A computer account.
If you configure this policy setting, an audit event is generated when an attempt to access a kernel object is made. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when an attempt to access a kernel object is made.
Note: Only the System Access Control List (SACL) for SAM_SERVER can be modified.
Volume: High on domain controllers. For information about reducing the amount of events generated in this subcategory, see article 841001 in the Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=121698).
766Sertifiseringstjenester

Med denne policyinnstillingen kan du overvåke operasjoner for Active Directory-sertifikattjenester (AD CS).
AD CS-operasjoner omfatter følgende:
Oppstart/avslutning/sikkerhetskopiering/gjenoppretting av AD CS.
Endringer i sertifikatopphevelseslisten (CRL).
Nye sertifikatforespørsler.
Utstedelse av et sertifikat.
Opphevelse av et sertifikat.
Endringer i innstillingene for sertifikatbehandling for AD CS.
Endringer i konfigurasjonen av AD CS.
Endringer i en sertifiseringstjenestemal.
Import av et sertifikat.
Publisering av et sertifikat for sertifiseringsinstans til Active Directory Domain Services.
Endringer i sikkerhetstillatelsene for AD CS.
Arkivering av en nøkkel.
Import av en nøkkel.
Henting av en nøkkel.
Start av tjenesten Online Certificate Status Protocol (OCSP) Responder.
Stans av tjenesten Online Certificate Status Protocol (OCSP) Responder.

Volum: Middels eller lavt på datamaskiner som kjører Active Directory-sertifikattjenester.
Certification Services

This policy setting allows you to audit Active Directory Certificate Services (AD CS) operations.
AD CS operations include the following:
AD CS startup/shutdown/backup/restore.
Changes to the certificate revocation list (CRL).
New certificate requests.
Issuing of a certificate.
Revocation of a certificate.
Changes to the Certificate Manager settings for AD CS.
Changes in the configuration of AD CS.
Changes to a Certificate Services template.
Importing of a certificate.
Publishing of a certification authority certificate is to Active Directory Domain Services.
Changes to the security permissions for AD CS.
Archival of a key.
Importing of a key.
Retrieval of a key.
Starting of Online Certificate Status Protocol (OCSP) Responder Service.
Stopping of Online Certificate Status Protocol (OCSP) Responder Service.

Volume: Medium or Low on computers running Active Directory Certificate Services.
767Programgenerert

Med denne policyinnstillingen kan du overvåke programmer som genererer hendelser ved hjelp av programmeringsgrensesnittene for programmet (APIer) med Windows-overvåking. Programmer som er utviklet for å bruke overvåkings-API for Windows bruker denne underkategorien til å loggføre overvåkingshendelser som er knyttet til deres funksjon.
Hendelser i denne underkategorien omfatter følgende:
Oppretting av programklientkontekst.
Sletting av programklientkontekst.
Initialisering av programklientkontekst.
Andre programoperasjoner ved hjelp av overvåkings-APIer for Windows.

Volum: Avhenger av programmene som genererer dem.
Application Generated

This policy setting allows you to audit applications that generate events using the Windows Auditing application programming interfaces (APIs). Applications designed to use the Windows Auditing API use this subcategory to log auditing events related to their function.
Events in this subcategory include:
Creation of an application client context.
Deletion of an application client context.
Initialization of an application client context.
Other application operations using the Windows Auditing APIs.

Volume: Depends on the applications that are generating them.
768Referansebehandling

Med denne policyinnstillingen kan du overvåke hendelser som genereres når referansen til et objekt åpnes eller lukkes. Det er bare objekter med en samsvarende systemtilgangskontrolliste (SACL) som genererer sikkerhetsovervåkingshendelser.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når en referanse behandles. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en referanse behandles.

Obs! Hendelser i denne underkategorien genererer bare hendelser for objekttyper der tilsvarende underkategori for objekttilgang er aktivert. Hvis for eksempel objekttilgang til filsystemet er aktivert, genereres det sikkerhetsovervåkingshendelser for referansebehandling. Hvis tilgangen til registerobjekter ikke er aktivert, genereres det ingen sikkerhetsovervåkingshendelser for referansebehandling.

Volum: Avhenger av hvordan SACLene er konfigurert.
Handle Manipulation

This policy setting allows you to audit events generated when a handle to an object is opened or closed. Only objects with a matching system access control list (SACL) generate security audit events.

If you configure this policy setting, an audit event is generated when a handle is manipulated. Success audits record successful attempts and Failure audits record unsuccessful attempts.
If you do not configure this policy setting, no audit event is generated when a handle is manipulated.

Note: Events in this subcategory generate events only for object types where the corresponding Object Access subcategory is enabled. For example, if File system object access is enabled, handle manipulation security audit events are generated. If Registry object access is not enabled, handle manipulation security audit events will not be generated.

Volume: Depends on how SACLs are configured.
769Delt filressurs

Med denne policyinnstillingen kan du overvåke forsøk på å få tilgang til en delt mappe.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det blir gjort et forsøk på å få tilgang til en delt mappe. Hvis denne policyinnstillingen er definert, kan administratoren angi om bare vellykkede forsøk skal overvåkes, bare mislykkede forsøk eller begge deler.

Obs! Det finnes ingen systemtilgangskontrollister (SACLer) for delte mapper. Hvis denne policyinnstillingen er aktivert, overvåkes tilgangen til alle delte mapper på systemet.

Volum: Høyt på en filserver eller domenekontroller fordi gruppepolicy krever SYSVOL-nettverkstilgang.
File Share

This policy setting allows you to audit attempts to access a shared folder.

If you configure this policy setting, an audit event is generated when an attempt is made to access a shared folder. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, or both successes and failures.

Note: There are no system access control lists (SACLs) for shared folders. If this policy setting is enabled, access to all shared folders on the system is audited.

Volume: High on a file server or domain controller because of SYSVOL network access required by Group Policy.
770Pakkedropp for Windows Filterplattform

Med denne policyinnstillingen kan du overvåke pakker som forkastes av Windows Filterplattform (WFP).

Volum: Høyt.
Windows Filtering Platform Packet Drop

This policy setting allows you to audit packets that are dropped by Windows Filtering Platform (WFP).

Volume: High.
771Tilkobling for Windows Filterplattform

Med denne policyinnstillingen kan du overvåke tilkoblinger som tillates eller blokkeres av Windows Filterplattform (WFP). Følgende hendelser er inkludert:
Windows-brannmuren blokkerer slik at et program ikke kan godta innkommende tilkoblinger på nettverket.
WFP tillater en tilkobling.
WFP blokkerer en tilkobling.
WFP tillater en binding til en lokal port.
WFP blokkerer en binding til en lokal port.
WFP tillater en tilkobling.
WFP blokkerer en tilkobling.
WFP tillater at et program eller en tjeneste lytter på en port etter innkommende tilkoblinger.
WFP blokkerer slik at et program eller en tjeneste ikke kan lytte på port etter innkommende tilkoblinger.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når tilkoblinger tillates eller blokkeres av WFP. Hendelser som genereres når tilkoblinger tillates, registreres i Overvåking av vellykkede forsøk, og hendelser som genereres når tilkoblinger blokkeres, registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når tilkoblinger tillates eller blokkeres av WFP.

Volum: Høyt.
Windows Filtering Platform Connection

This policy setting allows you to audit connections that are allowed or blocked by the Windows Filtering Platform (WFP). The following events are included:
The Windows Firewall Service blocks an application from accepting incoming connections on the network.
The WFP allows a connection.
The WFP blocks a connection.
The WFP permits a bind to a local port.
The WFP blocks a bind to a local port.
The WFP allows a connection.
The WFP blocks a connection.
The WFP permits an application or service to listen on a port for incoming connections.
The WFP blocks an application or service to listen on a port for incoming connections.

If you configure this policy setting, an audit event is generated when connections are allowed or blocked by the WFP. Success audits record events generated when connections are allowed and Failure audits record events generated when connections are blocked.
If you do not configure this policy setting, no audit event is generated when connected are allowed or blocked by the WFP.

Volume: High.
772Andre objekttilgangshendelser

Med denne policyinnstillingen kan du overvåke hendelser som genereres etter behandling av jobber i oppgaveplanlegging eller COM+-objekter.
For planleggingsjobber overvåkes følgende:
Jobb som opprettes.
Jobb som slettes.
Jobb som aktiveres.
Jobb som deaktiveres.
Jobb som oppdateres.
For COM+-objekter overvåkes følgende:
Katalogobjekt som legges til.
Katalogobjekt som oppdateres.
Katalogobjekt som slettes.

Volum: Lavt.
Other Object Access Events

This policy setting allows you to audit events generated by the management of task scheduler jobs or COM+ objects.
For scheduler jobs, the following are audited:
Job created.
Job deleted.
Job enabled.
Job disabled.
Job updated.
For COM+ objects, the following are audited:
Catalog object added.
Catalog object updated.
Catalog object deleted.

Volume: Low.
773Detaljert delt filressurs

Med denne policyinnstillingen kan du overvåke forsøk på å få tilgang til filer og mapper i en delt mappe. Innstillingen Detaljert delt filressurs logger en hendelse hver gang en fil eller mappe åpnes, mens innstillingen Delt filressurs bare registrerer én hendelse for en tilkobling som opprettes mellom en klient og en delt filressurs. Overvåkingshendelser i Detaljert delt filressurs inkluderer detaljert informasjon om tillatelsene eller andre kriterier som brukes til å gi eller avslå tilgang.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse hver gang det blir gjort et forsøk på å åpne en fil eller mappe på en delt ressurs. Administratoren kan angi om bare vellykkede forsøk skal overvåkes, bare mislykkede forsøk eller begge deler.

Obs! Det finnes ingen lister for systemtilgangskontroll (SACLer) for delte mapper. Hvis denne policyinnstillingen er aktivert, overvåkes tilgangen til alle delte filer og mapper i systemet.

Volum: Høyt på en filserver eller domenekontroller fordi SYSVOL-nettverkstilgang kreves av gruppepolicyen.
Detailed File Share

This policy setting allows you to audit attempts to access files and folders on a shared folder. The Detailed File Share setting logs an event every time a file or folder is accessed, whereas the File Share setting only records one event for any connection established between a client and file share. Detailed File Share audit events include detailed information about the permissions or other criteria used to grant or deny access.

If you configure this policy setting, an audit event is generated when an attempt is made to access a file or folder on a share. The administrator can specify whether to audit only successes, only failures, or both successes and failures.

Note: There are no system access control lists (SACLs) for shared folders. If this policy setting is enabled, access to all shared files and folders on the system is audited.

Volume: High on a file server or domain controller because of SYSVOL network access required by Group Policy.
774Flyttbare lagringsmedier

Med denne policyinnstillingen kan du overvåke forsøk fra brukere på å få tilgang til filsystemobjekter på et flyttbart lagringsmedium. Det genereres bare en sikkerhetsovervåkingshendelse for alle objekter for alle forespurte typer tilgang.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse hver gang en konto prøver å få tilgang til et filsystemobjekt på et flyttbart lagringsmedium. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, og mislykkede forsøk registreres i Overvåking av mislykkede forsøk.

Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når en konto prøver å få tilgang til et filsystemobjekt på et flyttbart lagringsmedium.
Removable storage

This policy setting allows you to audit user attempts to access file system objects on a removable storage device. A security audit event is generated only for all objects for all types of access requested.

If you configure this policy setting, an audit event is generated each time an account accesses a file system object on a removable storage. Success audits record successful attempts and Failure audits record unsuccessful attempts.

If you do not configure this policy setting, no audit event is generated when an account accesses a file system object on a removable storage.
775Oppsett av policy for sentral tilgang

Med denne policyinnstillingen kan du overvåke tilgangsforespørsler der tillatelsen som blir gitt eller nektet av en foreslått policy, er forskjellig fra gjeldende policy for sentral tilgang for et objekt.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse hver gang en bruker prøver å få tilgang til et objekt, men tillatelsen som blir gitt av gjeldende policy for sentral tilgang for objektet, er forskjellig fra tillatelsen som blir gitt av den foreslåtte policyen. Den resulterende overvåkingshendelsen genereres som følger:
1) Tilgangsforsøk når gjeldende policy for sentral tilgang gir tilgang, men den foreslåtte policyen nekter tilgang, registreres i Overvåking av vellykkede forsøk, hvis konfigurert.
2) Tilgangsforsøk registreres i Overvåking av mislykkede forsøk, hvis konfigurert, i følgende tilfeller:
a) Når gjeldende policy for sentral tilgang ikke gir tilgang, men den foreslåtte policyen gir tilgang.
b) Når sikkerhetskontohavere ber om de maksimale tilgangsrettighetene de har tillatelse til, men tilgangsrettighetene som gis av gjeldende policy for sentral tilgang, er forskjellig fra tilgangsrettighetene som gis av den foreslåtte policyen.

Volum: Muligens høyt på en filserver når den foreslåtte policyen er svært forskjellig fra gjeldende policy for sentral tilgang.

Standard: Ingen overvåking
Central Access Policy Staging

This policy setting allows you to audit access requests where the permission granted or denied by a proposed policy differs from the current central access policy on an object.

If you configure this policy setting, an audit event is generated each time a user accesses an object and the permission granted by the current central access policy on the object differs from that granted by the proposed policy. The resulting audit event will be generated as follows:
1) Success audits, when configured, records access attempts when the current central access policy grants access but the proposed policy denies access.
2) Failure audits when configured records access attempts when:
a) The current central access policy does not grant access but the proposed policy grants access.
b) A principal requests the maximum access rights they are allowed and the access rights granted by the current central access policy are different than the access rights granted by the proposed policy.

Volume: Potentially high on a file server when the proposed policy differs significantly from the current central access policy.

Default: No Auditing
792Tilgang til katalogtjeneste

Med denne policyinnstillingen kan du overvåke hendelser som genereres når det gis tilgang til et objekt for Active Directory Domain Services (AD DS).

Det er bare AD DS-objekter med en samsvarende systemtilgangskontrolliste (SACL) som loggføres.

Hendelser i denne underkategorien likner på hendelsene for tilgang til katalogtjeneste som finnes i tidligere versjoner av Windows.

Volum: Høyt på domenekontrollere. Ingen på klientdatamaskiner.

Standard på Client-utgaver: Ingen overvåking.

Standard på Server-utgaver: Vellykket.
Directory Service Access

This policy setting allows you to audit events generated when an Active Directory Domain Services (AD DS) object is accessed.

Only AD DS objects with a matching system access control list (SACL) are logged.

Events in this subcategory are similar to the Directory Service Access events available in previous versions of Windows.

Volume: High on domain controllers. None on client computers.

Default on Client editions: No Auditing.

Default on Server editions: Success.
793Endringer i Active Directory Domain Services-objekter

Med denne policyinnstillingen kan du overvåke hendelser som genereres av endringer i objekter i Active Directory Domain Services (AD DS). Hendelser loggføres når et objekt opprettes, slettes, endres, flyttes eller gjenopprettes.

Når det er mulig, angir hendelser som er loggført i denne underkategorien, de gamle og nye verdiene for objektets egenskaper.

Hendelser i denne underkategorien loggføres bare på domenekontrollere, og det er bare objekter i AD DS med en samsvarende systemtilgangskontrolliste (SACL) som loggføres.

Obs! Handlinger på enkelte objekter og egenskaper fører ikke til at overvåkingshendelser genereres på grunn av innstillinger for objektklassen i skjemaet.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse når det gjøres forsøk på å endre et objekt i AD DS. Vellykkede forsøk registreres i Overvåking av vellykkede forsøk, men mislykkede forsøk registreres imidlertid IKKE i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser når det gjøres forsøk på å endre et objekt i AD DS.

Volum: Bare høyt på domenekontrollere.

Standard: Ingen overvåking
Active Directory Domain Services Object Changes

This policy setting allows you to audit events generated by changes to objects in Active Directory Domain Services (AD DS). Events are logged when an object is created, deleted, modified, moved, or undeleted.

When possible, events logged in this subcategory indicate the old and new values of the object’s properties.

Events in this subcategory are logged only on domain controllers, and only objects in AD DS with a matching system access control list (SACL) are logged.

Note: Actions on some objects and properties do not cause audit events to be generated due to settings on the object class in the schema.

If you configure this policy setting, an audit event is generated when an attempt to change an object in AD DS is made. Success audits record successful attempts, however unsuccessful attempts are NOT recorded.
If you do not configure this policy setting, no audit event is generated when an attempt to change an object in AD DS object is made.

Volume: High on domain controllers only.

Default: No Auditing
794Katalogtjenestereplikering

Med denne policyinnstillingen kan du overvåke replikering mellom to domenekontrollere for Active Directory Domain Services (AD DS).

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse under AD DS-replikering. Vellykket replikering registreres i Overvåking av vellykkede forsøk, og mislykket replikering registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser under AD DS-replikering.

Obs! Hendelser i denne underkategorien loggføres bare på domenekontrollere.

Volum: Middels på domenekontrollere. Ingen på klientdatamaskiner.

Standard: Ingen overvåking.
Directory Service Replication

This policy setting allows you to audit replication between two Active Directory Domain Services (AD DS) domain controllers.

If you configure this policy setting, an audit event is generated during AD DS replication. Success audits record successful replication and Failure audits record unsuccessful replication.
If you do not configure this policy setting, no audit event is generated during AD DS replication.

Note: Events in this subcategory are logged only on domain controllers.

Volume: Medium on domain controllers. None on client computers.

Default: No Auditing.
795Detaljert katalogtjenestereplikering

Med denne policyinnstillingen kan du overvåke hendelser som genereres av detaljert Active Directory Domain Services-replikering (AD DS) mellom domenekontrollere.

Volum: Høyt.

Standard: Ingen overvåking.
Detailed Directory Service Replication

This policy setting allows you to audit events generated by detailed Active Directory Domain Services (AD DS) replication between domain controllers.

Volume: High.

Default: No Auditing.
822Legitimasjonsvalidering

Med denne policyinnstillingen kan du overvåke hendelser som genereres av valideringstester utført på påloggingslegitimasjon for brukerkontoer.

Hendelser i denne underkategorien inntreffer bare på datamaskinen som er autoritativ for denne legitimasjonen. For domenekontoer er det domenekontrolleren som er autoritativ. For lokale kontoer er det den lokale datamaskinen som er autoritativ.

Volum: Høyt på domenekontrollere.

Standard på Client-utgaver: Ingen overvåking.

Standard på Server-utgaver: Vellykket.
Credential Validation

This policy setting allows you to audit events generated by validation tests on user account logon credentials.

Events in this subcategory occur only on the computer that is authoritative for those credentials. For domain accounts, the domain controller is authoritative. For local accounts, the local computer is authoritative.

Volume: High on domain controllers.

Default on Client editions: No Auditing.

Default on Server editions: Success.
823Billettoperasjoner for Kerberos-tjenesten

Med denne policyinnstillingen kan du overvåke hendelser som genereres av Kerberos-godkjenningsforespørsler om tilgangsbillett (TGT) som er sendt for brukerkontoer.

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse etter at det er sendt en godkjenningsforespørsel om TGT for en brukerkonto. Vellykkede forespørsler registreres i Overvåking av vellykkede forsøk, og mislykkede forespørsler registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser etter at det er sendt en Kerberos-godkjenningsforespørsel om TGT for en brukerkonto.

Volum: Lavt.

Standard på Client-utgaver: Ingen overvåking.

Standard på Server-utgaver: Vellykket.
Kerberos Service Ticket Operations

This policy setting allows you to audit events generated by Kerberos authentication ticket-granting ticket (TGT) requests submitted for user accounts.

If you configure this policy setting, an audit event is generated after a Kerberos authentication TGT is requested for a user account. Success audits record successful requests and Failure audits record unsuccessful requests.
If you do not configure this policy setting, no audit event is generated after a Kerberos authentication TGT is request for a user account.

Volume: Low.

Default on Client editions: No Auditing.

Default on Server editions: Success.
824Andre påloggingshendelser for konto

Med denne policyinnstillingen kan du overvåke hendelser som genereres av svar på legitimasjonsforespørsler som er sendt for en brukerkontopålogging som ikke er legitimasjonsvalidering eller Kerberos-billetter.

Det er for tiden ingen hendelser i denne underkategorien.

Standard: Ingen overvåking.
Other Account Logon Events

This policy setting allows you to audit events generated by responses to credential requests submitted for a user account logon that are not credential validation or Kerberos tickets.

Currently, there are no events in this subcategory.

Default: No Auditing.
825Kerberos Authentication Service

Med denne policyinnstillingen kan du overvåke hendelser som genereres av Kerberos-godkjenningsforespørsler om tilgangsbillett (TGT).

Hvis du konfigurerer denne policyinnstillingen, genereres det en overvåkingshendelse etter en Kerberos-godkjenningsforespørsel om TGT. Vellykkede forespørsler registreres i Overvåking av vellykkede forsøk, og mislykkede forespørsler registreres i Overvåking av mislykkede forsøk.
Hvis du ikke konfigurerer denne policyinnstillingen, genereres det ingen overvåkingshendelser etter en Kerberos-godkjenningsforespørsel om TGT.

Volum: Høyt på Kerberos Key Distribution Center-servere.

Standard på Client-utgaver: Ingen overvåking.

Standard på Server-utgaver: Vellykket.
Kerberos Authentication Service

This policy setting allows you to audit events generated by Kerberos authentication ticket-granting ticket (TGT) requests.

If you configure this policy setting, an audit event is generated after a Kerberos authentication TGT request. Success audits record successful requests and Failure audits record unsuccessful requests.
If you do not configure this policy setting, no audit event is generated after a Kerberos authentication TGT request.

Volume: High on Kerberos Key Distribution Center servers.

Default on Client editions: No Auditing

Default on Server editions: Success.

EXIF

File Name:auditpolmsg.dll.mui
Directory:%WINDIR%\WinSxS\amd64_microsoft-windows-a..in-native.resources_31bf3856ad364e35_10.0.15063.0_nb-no_eab10df5bc7a0df6\
File Size:104 kB
File Permissions:rw-rw-rw-
File Type:Win32 DLL
File Type Extension:dll
MIME Type:application/octet-stream
Machine Type:Intel 386 or later, and compatibles
Time Stamp:0000:00:00 00:00:00
PE Type:PE32
Linker Version:14.10
Code Size:0
Initialized Data Size:105984
Uninitialized Data Size:0
Entry Point:0x0000
OS Version:10.0
Image Version:10.0
Subsystem Version:6.0
Subsystem:Windows GUI
File Version Number:10.0.15063.0
Product Version Number:10.0.15063.0
File Flags Mask:0x003f
File Flags:(none)
File OS:Windows NT 32-bit
Object File Type:Dynamic link library
File Subtype:0
Language Code:Norwegian (Bokml)
Character Set:Unicode
Company Name:Microsoft Corporation
File Description:Meldinger for MMC-snapin-modul for overvåkingspolicy
File Version:10.0.15063.0 (WinBuild.160101.0800)
Internal Name:AuditPolSnapInMsg
Legal Copyright:© Microsoft Corporation. Med enerett.
Original File Name:AuditPolMsg.DLL.MUI
Product Name:Operativsystemet Microsoft® Windows®
Product Version:10.0.15063.0
Directory:%WINDIR%\WinSxS\wow64_microsoft-windows-a..in-native.resources_31bf3856ad364e35_10.0.15063.0_nb-no_f505b847f0dacff1\

What is auditpolmsg.dll.mui?

auditpolmsg.dll.mui is Multilingual User Interface resource file that contain Norwegian (Bokml) language for file auditpolmsg.dll (Meldinger for MMC-snapin-modul for overvåkingspolicy).

File version info

File Description:Meldinger for MMC-snapin-modul for overvåkingspolicy
File Version:10.0.15063.0 (WinBuild.160101.0800)
Company Name:Microsoft Corporation
Internal Name:AuditPolSnapInMsg
Legal Copyright:© Microsoft Corporation. Med enerett.
Original Filename:AuditPolMsg.DLL.MUI
Product Name:Operativsystemet Microsoft® Windows®
Product Version:10.0.15063.0
Translation:0x414, 1200