Я искал все выше и ниже и не могу найти ответ на свою потребность. Я нахожусь в процессе настройки SIEM для нашей сети, и мне нужно провести аудит событий входа / выхода пользователей и компьютеров. Достаточно просто, за исключением того, что наш домен является дочерним доменом в лесу с примерно 10 другими доменами. Когда я включаю необходимые параметры в конфигурации расширенной политики аудита и устанавливаю соответствующие записи в SACL, мы получаем события для каждого события входа / выхода на протяжении всего весь лес AD.
Короче говоря, есть ли способ получить ТОЛЬКО события входа / выхода на машины, которые являются членами нашего дочернего домена? Любая помощь приветствуется, спасибо.