通过AD审计注册表事件

Question

我希望审核与注册表相关的事件(修改键删除键等)，因此我通过组策略启用了它，并设置了一个“全局对象访问审核”，用于对“身份验证用户”进行审计。不幸的是，事件计数过高，其中几乎95%来自"NT系统“。以下是我的问题；

->为什么"NT系统“是”认证用户“的一部分？->在”全局对象访问审核“中我应该选择什么，这限制了除了系统之外的所有交互和非交互用户的审核。

编辑:如果我要使用“域用户”，我需要为林中和林外的每个域创建单独的条目；我希望，这是最后的移动。

Answer 1

经过身份验证的用户不是包含成员的组。这是个条件。

将其设置为域用户。