Назад | Перейти на главную страницу

Аудит событий реестра через AD

Я хочу провести аудит событий, связанных с реестром (изменить ключ, удалить ключ и т. Д.), Поэтому я включил его с помощью групповой политики и настроил «Глобальный аудит доступа к объектам» для аудита «Прошедших проверку пользователей». К сожалению, количество событий слишком велико, и почти 95% из них от "NT SYSTEM". Ниже мои вопросы;

-> Почему "NT SYSTEM" входит в "Authenticated Users"? -> Что мне выбрать в «Глобальном аудите доступа к объектам», который ограничивает аудит для всех интерактивных и неинтерактивных пользователей, кроме SYSTEM.?

Изменить: если бы я использовал «Пользователи домена», мне нужно было бы создать отдельную запись для каждого домена в лесу и вне леса; Я желаю, чтобы это был крайний шаг.

Прошедшие проверку пользователи - это не группа, в которую входят участники. Это условие.

Установите значение «Пользователи домена».