为什么即使审核策略的审核登录事件值设置为无审核,Windows Server 仍会在安全日志中生成 4624 事件(帐户已成功登录)。
答案1
据我所知,登录事件审核是默认启用的,如果您想禁用它,请使用 GPMC,并编辑您的默认域策略。
在计算机设置下,安全设置本地策略、审计策略。
请参考此早期主题,其中建议的解决方案可能会帮助您解决此问题: https://social.technet.microsoft.com/Forums/office/en-US/a9370291-0520-484d-a6c3-9a23cdf94023/excessive-4624-and-4634-events?forum=winserverDS
如果问题是由特定的终端服务器引起的,我们可以将其从域中删除,然后重新加入以进行测试。
为了使用事件日志成功跟踪用户登录会话,您需要遵循以下步骤:https://community.spiceworks.com/how_to/130398-how-to-track-user-logon-session-using-event-log