Всем привет.

В логе Security на сервере (Win2003) каждую секунду появляется по несколько записей Success Audit. Т.е. буквально за минуту набирается порядка 20000 - 30000 записей. От чего это может быть? Может ли это быть связано с тем, что людей постоянно то выкидывает, то впускает? Это может быть как-то связано с проблемами DNS?

Параметры аудита в политике какие настроены? (посмотреть можно выполнив команду rsop.msc)

Наверняка - изменение файлов )
dodger,
А коды событий и их описание слабо посмотреть?

Коды говорят обратное - это вход и выход пользователя, изменение привилегий: 538, 540, 576. Вот такие коды там фигурируют.

изменение привилегий »
Поробуйте отключить аудит использования привелегий

Audit Privilege use = No auditing
Он отключен по умолчанию. Видимо дело в другом.

Да, только сейчас обратил внимание. От обычных пользователей записей мало, главный мусорщик - это SYSTEM.

Просмотрите процессы, запущенные от SYSTEM - нет ли чего подозрительного. Что из "необычных" программ на сервере установлено?
Гляньте http://www.eventid.net/display.asp?eventid=538&eventno=7&source=Security&phase=1, приведите полные тексты сообщений с этими кодами от SYSTEM. Допустим, у меня на прокси-сервере похожая картина, когда у пользователя, например, нет прав на выход в Интернет, а шлюз по умолчанию именно этот, или он пытается запустить броузер и получает запрет.
Logon Failure:
Reason: Unknown user name or bad password
User Name: olga
Domain: PC001
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: PC001

Event id: 540
Successful Network Logon:
User Name: LKI-AD$
Domain: LENKOR
Logon ID: (0x0,0x1A9CBFE4)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {004c14fc-8c0d-fab9-f8dc-493a31d7a543}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 192.168.0.2
Source Port: 4661


Event id: 538
User Logoff:
User Name: LKI-AD$
Domain: LENKOR
Logon ID: (0x0,0x1A9CBFE4)
Logon Type: 3


Event id: 576
Special privileges assigned to new logon:
User Name: LKI-AD$
Domain: LENKOR
Logon ID: (0x0,0x1A9CC0AB)
Privileges: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Список установленного ПО на сервере огласите

Symantec Antivirus
Friendly Pinger
DameWare
NormaCS
Adobe Reader