我想审核注册表相关事件(修改密钥删除密钥等),因此我通过组策略启用了它,并设置了“全局对象访问审核”以审核“经过身份验证的用户”。不幸的是,事件计数太高,其中几乎 95% 来自“NT SYSTEM”。以下是我的问题;
-> 为什么“NT SYSTEM”是“经过身份验证的用户”的一部分?-> 我应该在“全局对象访问审计”中选择什么,以将审计限制为除 SYSTEM 之外的所有交互式和非交互式用户?
编辑:如果我要使用“域用户”,我需要为林内和林外的每个域创建单独的条目;我希望这是最后的手段。
答案1
经过身份验证的用户不是包含成员的组。这是一个条件。
将其设置为域用户。