Службы. Как отловить вход и выход пользователя

Здравствуйте, господа!
Как отловить вход и выход пользователя в службе Windows?

 

может тебе поможет "события виндовс"? там написано какая служба и когда запукается.

а также каким юзером и когда вход и выход...

 

что именно вы имели ввиду?

Вообще-то мне нужно отлавливать все виды сеансов, включая неинтерактивные, т.е. типа RunAs и т.д.

Если я вас правильно понял, то события от SCM ограничены

 

Это имел ввиду:

Выход из процесса:
Код процесса: 3888
Имя файла рисунка: C:\WINDOWS\system32\verclsid.exe
Пользователь: Admin1
Домен: Hackerz
Код входа: (0x0,0x113DD)

 

Смотри обработчик HandlerEx ищу в мсдн, теюе все скажут и сессион айди и даже имя пользователя и тип входа, - интерактивный или другое

 

Cock

MSDN
SERVICE_CONTROL_SESSIONCHANGE
Windows 2000/NT: This value is not supported.

 

BORYAK
Ну так в вопросе версии Ос не уточнялись

 

Вот нашел статью http://www.codeproject.com/system/logonsessions.asp
Но вот как споймать событие входа/выхода. Вот в чем вопрос.

ОС: 2000, XP, 2003

 

BORYAK
так тебе ЛогонСессии или "вход и выход"
открытие-закрытие ЛогонСессий я ловлю в драйвере
точнее закрытие документированно ловится через SeRegisterLogonSessionTerminatedRoutine
а вот открытие - это ноу-хау

 

z0mailbox
сэнкс за уточнение.
Мне нужен вход и выход сессий (интерактивных, терминальных, а также создаваемых налету через runas etc.)

 

BORYAK
понятно, драйвер здесь не нужен
пишешь свой Authentication Package, как здесь расписано
http://msdn2.microsoft.com/en-us/library/aa374733.aspx
это такая длл-ка получицца, после ребута грузящаяся в ЛСАСС
там ей при ините дадут немаленькую такую таблицу указателей на функции типа внутреннего АПИ
если кое-какие из них похучить - будешь иметь всю инфу об этих сессиях
но имей в виду - ЛСАСС это такой особый процесс и длл-ки в нем пишутся не студентами
шаг влево, шаг вправо - ребут в 60 секунд без возможности апелляции

 

z0mailbox

Ну вообще AFAIK с возможностью. "Ребут в 60 секунд" производится процессом winlogon, поэтому TerminateProcess на него - вот и вся апелляция. А чтобы smss.exe не сгенерировал BSOD, не досчитавшись winlogon, то предварительно TerminateProcess на smss.exe.

 

l_inc
хоть тушкой хоть чучелком ))

 

Ну или посмотреть к чему сводится команда"shutdown.exe -a"

 

этого я и боялся. Неужели нет простых путей?

 

BORYAK

Можно попробовать в джине похучить че-нить. Но там я не уверен нащет рун-аз
Здесь точно 100% попадание

 

Кстати, похожий вопрос.
Как можно в win2k/XP принудительно, не спрашивая пользователя, выбросить его из системы? Тоже писать Authentication Package? Или есть менее радикальное решение?
Вариант ExitWindowsEx() не предлагать, т.к. 1). она выбрасывает пользователя, который ее вызвал и 2). выводит сообщение вида "Действительно выйти из системы?".
Извините, если неудачно апнул тему!

 

что значит "выбросить его из системы?" - типа Logoff в таскманагере на вкладке Users ?

 

Код (Text):

1. BOOL WTSLogoffSession(
2.   __in          HANDLE hServer,
3.   __in          DWORD SessionId,
4.   __in          BOOL bWait
5. );

So,
WTSLogoffSession(WTS_CURRENT_SERVER_HANDLE, WTS_CURRENT_SESSION, FALSE);
(Есть ещё менее жёсткое - без закрытия сессии - решение: WTSDisconnectSession).

 

Это, однако, работает только со включенными Terminal Services
А в w2k prof какой, на фиг, TS?
Но все равно - спасибо!