[nextnext]

Такая же проблема, Windows 7, долго искал причины, нашёл здесь. Это просто ещё один баг винды.

Цитата:

Причины Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся: Использование прав --> Аудит использования прав, затрагивающих конфиденциальные данные. GUID: {0cce9228-69ae-11d9-bed3-505054503030}. Использование прав --> Аудит использования прав, не затрагивающих конфиденциальные данные. GUID: {0cce9229-69ae-11d9-bed3-505054503030}. Доступ к объектам --> Аудит событий, создаваемых приложениями. GUID:{ 0cce9222-69ae-11d9-bed3-505054503030}. Рекомендации по решению проблемы Если проблема еще не произошла, то не активируйте указанные «сбойные» подкатегории. Если события этих подкатегорий очень нужны, то пользуйтесь утилитой auditpol для их активации или же управляйте аудитом с помощью базовых политик. Если проблема произошла, то необходимо: Из каталога доменной групповой политики удалить файл \Machine\microsoft\windows nt\Audit\audit.csv Со всех компьютеров, на которых были выявлены проблемы с аудитом, удалить файлы: %SystemRoot%\security\audit\audit.csv, %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv

Я эти три сбойные категории не активировал (или забыл, что когда-то активировал, а потом деактивировал). А может некоторые другие активированные у меня категории тоже сбойные. В любом случае удалил два файла. Включил в оснастке "Аудит входа в систему", чтобы новые файлы появились. После чего результат выполнения auditpol /get /category:* стал совпадать с содержимым оснастки.