Hallo Zusammen,
ich betreibe eine Window Serer 2016 Domäne mit 2 DCs. Auf einem der DCs erstellte ich einen Eintrag im Eventlog, das mir das An- und Abmelden in der Domäne protokollieren sollte. (LM\System\CurrentControlSet\Services\Eventlog\Logging)
Die Protokollierung vom einfachen Schreiben in eine Textdatei auf das Erstellen eines Eintrags im Eventlog des DCs wurde umgestellt. Dadurch kann man auch verhindern, dass die Anmeldungen an verschiedenden DCs protokolliert und danach eingesammelt werden müssen.
Zusätzlich zu den Standard SIDs fügte ich die Gruppe "auth. Benutzer" hinzu (S-1-5-11), über wevtutil hinzu.
Im Eventlog werden mir aber nur ein paar wenige An-und Abmeldungen auf den immer wieder gleichen PCs angezeigt. Dies kann nicht sein, da wir mehrer User haben und das Aufkommen eindeutig höher ist. Meine An- und Abmeldungen als Admin auf den Server, werden immer geloggt. Muss noch etwas eingestellt werden?
Es ist egal welcher Benutzer sich an den "funktionierenden" PCs einloggt. Daher geht meine Vermutung dazu, dass die Rechner eventuell nicht den gleichen Updatestand haben. Im WSUS wurden alle verfügbaren Updates freigeschalten und bereits installiert?!
Ich hatte das auch schon so laufen, nur scheint seit irgendeinem Update von MS das nicht mehr zu laufen.
Edit:
CustomeSD: "O:BAG:SYD:(A;;0x2;;;S-1-15-2-1)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x7;;;S-1-5-11)"