Я просмотрел системные журналы на своей машине с Vista. Что такое «специальный вход»? администратор зашел на мой компьютер?
Это что-то новое для Windows 2008 и Vista (... и, возможно, Windows 7). Он используется для аудита специальных учетных записей, например администраторов или членов специальной группы.
позвольте мне процитировать статья:
Подкатегория аудита специального входа является частью новой функции аудита в Server 2008 и Vista, которая называется «Специальные группы». Администраторы могут использовать эту функцию, чтобы узнать, когда член определенной группы входит в систему на определенном компьютере. Например, если у вас есть файловый сервер, зарезервированный для исследовательского отдела вашей организации, у вас всегда будут другие пользователи, помимо тех, кто работает в исследовательском отделе, которые обращаются к файловому серверу, например, операторы серверов в вашем ИТ-отделе. Если на файловом сервере вашего исследовательского отдела хранится конфиденциальная информация, департамент может попросить вас создать контрольный журнал, в котором конкретно регистрируются все события входа на файловый сервер операторов сервера. В устаревшей системе аудита Windows вам нужно будет включить категорию событий аудита входа в систему для всех пользователей, которая будет регистрировать все входы и выходы из системы, а затем фильтровать события аудита, связанные с входами в учетную запись оператора сервера. В Server 2008 и Vista вы можете использовать GAP и подкатегорию аудита Special Logon для регистрации определенного события каждый раз, когда член группы операторов сервера входит на файловый сервер исследовательского отдела.
Подкатегория аудита специального входа в систему использует новый раздел реестра под названием SpecialGroups, который вы можете создать на сервере, на котором вы хотите выполнять детальный аудит, например на файловом сервере исследовательского отдела в приведенном выше примере. В разделе SpecialGroups перечислены SID важных групп, для которых вы хотите отслеживать события входа в систему. Если подкатегория аудита специального входа включена (помните, что она включена по умолчанию для успешных событий), каждый раз, когда пользователь, входящий в группу, указанную в ключевом элементе SpecialGroups, входит на сервер, система аудита Windows будет генерировать событие с идентификатором 4964 в журнале событий безопасности сервера