我想审计registry相关的事件(修改密钥删除密钥等),所以我启用它通过组策略,并设置“全球对象访问审计”审计“身份validation用户”。 不幸的是,事件数量太高,其中几乎95%来自“NT系统”。 以下是我的问题。
– >为什么“NT系统”是“authentication用户”的一部分? – >我应该在“全局对象访问审计”中select什么,它将审计限制在除SYSTEM之外的所有交互式和非交互式用户。
编辑:如果我要使用“域用户”,我需要为每个域在森林和森林中创build单独的条目; 我希望,这是最后的举动。
经过身份validation的用户不是包含成员的组。 这是一个条件。
将其设置为域用户。