Hallo zusammen,
wir lassen über eine Gruppenrichtlinie (Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien) die Anmeldeereignisse überwachen. Aber nur wenn hier Fehler auftreten. Jetzt loggt der DC aber immer wieder (im Sekundentakt) das Ereignis für eine SID und meldet Überwachung gescheitert.
1. Was bedeute Überwachung gescheitert?
Die Sicherheits-ID lautet wie folgt Domäne\Name eines Benutzers, Gefilterte SIDs: Hier wird wirklich eine SID ausgegeben, ohne Benutzername, etc.
2. Wie kann man das anpassen bzw. abstellen?
Unsere Domäne befindet sich in einem Forest mit einer anderen Domäne. Der Benutzer der hier angegeben wird, ist auch nicht in unserer Domäne sondern in der anderen.
Kann man das Problem möglichst einfach lösen ohne das Aufzeichnen abzustellen oder an welcher Seite muss da Hand angelegt werden?
Viele Grüße
Michael