我找遍了所有地方,但找不到满足我需求的答案。我正在为我们的网络设置 SIEM,我需要审核用户和机器的登录/注销事件。很简单,只是我们的域是森林中的子域,其中有大约 10 个其他域。当我在高级审核策略配置中启用必要的设置并在 SACL 中设置适当的条目时,我们会在整个过程中获取每个登录/注销事件的事件整个 AD 林。
简而言之,有没有办法只获取我们子域成员机器的登录/注销事件?任何帮助都值得感激,谢谢。
仅审核子域中的用户/机器帐户登录/注销事件
我找遍了所有地方,但找不到满足我需求的答案。我正在为我们的网络设置 SIEM,我需要审核用户和机器的登录/注销事件。很简单,只是我们的域是森林中的子域,其中有大约 10 个其他域。当我在高级审核策略配置中启用必要的设置并在 SACL 中设置适当的条目时,我们会在整个过程中获取每个登录/注销事件的事件整个 AD 林。
简而言之,有没有办法只获取我们子域成员机器的登录/注销事件?任何帮助都值得感激,谢谢。