При входе Админа на сервере, в Событиях появляется запись с кодом 577 - Отказ в присвоении прав, я так понял админу не даются привилегии SeTcbPrivilege.
Или раньше этого не было или я не замечал, у кого как в логах с этим?

Аудит отказов Север:Security Домен:такой-то Привелегии:SeTcbPrivilege

Смотрите в автозагрузку, какая-то программа требует право пользователя "Act as part of the operating system"
Это право по умолчанию не дается никому

Ivan Bardeen, спасибо! Точно появилось!

RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')

Вот эта кака как-то умудрилась на серваке прописаться в авторане.
Погуглил кто что пишет: кто вирус говорит, кто - настройка Майкрософта.

Кто-нибудь знает?

ZORBI,
Не следует принимать это близко к сердцу. К примеру,
Служба публикации имен компьютеров PNRP
Тип запуска: вручную.
Учетная запись: локальная служба.
Дополнительные привилегии: SECHANGENOTIFYPRIVILEGE, SECREATEGLOBALPRIVILEGE,
SEIMPERSONATEPRIVILEGE.
Файлы службы: p2psvc.dll.
Исполняемый файл: svchost.exe -k LocalServiceNetworkRestricted.
Подраздел реестра: PNRPAutoReg.
Службы, необходимые для работы данной: ПРОТОКОЛ PNRP (PNRPSvc).
Эта служба публикует имена компьютеров, использующих протокол PNRP.

Т.е. при незапущенной (или остановленной службе) один из процессов пытается работать.
Вообще-то в RunOnce прописывается. Если сомневаетесь - проверьте на вирусы.

Вот здесь чуть подробнее: http://eventid.net/display.asp?eventid=577&eventno=2772&source=Security&phase=1