2008 R2

Ivan Bardeen · Отправлено: **14:45, 15-02-2010** | #2

Об этом свидетельствует событие в логе безопасности одного из КД за номером 4743
Если не найдете - уже не узнать

ultrakiller · Отправлено: **15:16, 15-02-2010** | #3

А для 2003 (он резервный кд)--- это актуально... я просто не нашел нигде этот номер

Ivan Bardeen · Отправлено: **19:54, 15-02-2010** | #4

Цитата ultrakiller:

А для 2003 (он резервный кд)--- это актуально... я просто не нашел нигде этот номер »

Нет, для 2к3 это не актуально. У 2к3 ID равно 647

ultrakiller · Отправлено: **10:28, 16-02-2010** | #5

Спасибо ушел лог ...

Ivan Bardeen · Отправлено: **10:42, 16-02-2010** | #6

Возможно он не включен в default domain controller policy, например
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Account management

ultrakiller · Отправлено: **11:06, 16-02-2010** | #7

А как конкретно называется параметр

Ivan Bardeen · Отправлено: **11:09, 16-02-2010** | #8

Цитата Ivan Bardeen:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Account management »

Так и называется. Включаете регистрацию событий при success и failure попытках

ultrakiller · Отправлено: **11:50, 16-02-2010** | #9

Я просто по невнимательности не туда глянул

Цитата:

Аудит входа в систему Успех
Аудит доступа к объектам Нет аудита
Аудит доступа к службе каталогов Успех
Аудит изменения политики Успех
Аудит использования привилегий Нет аудита
Аудит отслеживания процессов Успех
Аудит системных событий Успех
Аудит событий входа в систему Успех
Аудит управления учетными записями Успех

Все ли включено

Ivan Bardeen · Отправлено: **12:07, 16-02-2010** | #10

Цитата ultrakiller:

Аудит управления учетными записями Успех »

Ну да, значит логи "ушли"