Я позволил контролировать на Windows Server 2012 R2 (контроллер домена), но любил, предупредил, существует только слишком много сгенерированных событий, и он действительно ничего не говорит мне или просто слишком неприятный для просмотра.
События, которые я хочу контролировать (успех и отказы):
Я думаю, что те события - те, которые интересуют меня. У меня нет интереса ни к чему, что пользователь делает на компьютере HIS просто вещи, которые имеют отношение к доменному доступу и доступу файлового сервера.
Как я настраиваю это правильно?
Некоторые события проверяются локально на самом ПК (например, включение / выключение питания), некоторые - на сервере (доступ к общему файлу), а некоторые - на DC (учетная запись входит в домен). Не все они связаны с контроллером домена или записаны на нем.
Вы можете включить аудит для локальных событий в локальной групповой политике или включить его в объекте групповой политики домена и связать его с подразделениями. Аудит входа в домен может выполняться только в политиках контроллера домена.
Аудит доступа к файлам должен быть включен в объекте групповой политики, а также в общих папках, которые вы хотите отслеживать (через записи SACL).
Ваш вопрос слишком общий. чтобы получить конкретный ответ, вам необходимо ознакомиться с принципами работы GPO / аудита в Windows в целом.