Почему Windows Server по-прежнему генерирует 4624 события (учетная запись успешно вошла в систему) в журнале безопасности, даже если политика аудита ' s Значение аудита событий входа в систему установлено на Без аудита.
Насколько мне известно, аудит событий входа в систему включен по умолчанию, если вы хотите отключить его, используйте GPMC и отредактируйте политику домена по умолчанию.
В настройках компьютера, настройки безопасности, локальные политики, политика аудита.
Пожалуйста, обратитесь к этой предыдущей ветке, предлагая решения, которые могут помочь вам решить эту проблему: https://social.technet.microsoft.com/Forums/office/en-US/a9370291-0520-484d-a6c3-9a23cdf94023/excessive-4624-and-4634-events?forum=winserverDS
Если проблема вызвана конкретным терминальным сервером, мы можем удалить его из домена и повторно присоединиться к нему в качестве теста.
Вот шаги, которые необходимо выполнить, чтобы успешно отслеживать сеансы входа пользователей в систему с помощью журнала событий: https://community.spiceworks.com/how_to/130398-how-to-track-user-logon-session-using-event-log