我注意到所有域控制器上的安全事件都停止了记录。这是在我对 GPO 进行一些清理之后发生的,我注意到我们有一个登录事件 GPO,但它也在默认 GPO 中启用了。所以我取消了登录事件 GPO 的链接。如果我查看公司管理中的安全事件,我会发现有相当多的审计策略更改事件 4719,此后就什么都没有了。我确实重新链接了登录事件 GPO,但仍然没有事件填充。有人有什么想法或建议吗?
答案1
事实证明,我在不知不觉中取消了一个高安全性 GP 的标记,然后又将其添加回来,然后日志又开始填充。
域安全事件已停止记录