Désactiver l'audit de Logon Logoff

J'ai un SBS 08 avec 50 users sur mon domaine. Dans l'Observateur d'events: journaux Windows> Sécurité, j'ai près de 300 000 events sur EventID 4624 Logon, 4634 Logoff, 4776 Validation des certificateions, 4769 Opérations des tickets de service Kerberos en seulement … 2 jours !!!

Je veux simplement le désactiver. J'ai essayé de désactiver l'audit dans la politique locale ou la stratégie de groupe, mais tout est grisé: Paramètres de security> Politiques locales> Stratégie d'audit> Événements d'ouverture de session d'audit: pas de vérification

Recherchez une imprimante HP qui charge un service Web apache.

J'ai eu 50 000 erreurs de Curb sur mon DC avec ce client d'imprimante génial sur l'un de mes posts de travail.

Comme d'autres l'ont dit, trouvez la cause sous-jacente, ne masquez pas ce qui se passe.

Si tout est grisé ici: démarrer> exécuter> gpedit.msc Politique de l'ordinateur local

Paramètres Windows

Les parameters de security

Politiques locales

Politique d'audit

properties des events d'ouverture de session d'audit

Ensuite, vous n'avez pas la permission de mettre à jour la stratégie de groupe sur le domaine / le server. Une fois que vous avez sécurisé la possibilité d'éditer gpol, vous pourrez désactiver les audits réussis. Une fois que vous les avez désactivés, exécutez 'gpupdate / force' pour forcer une mise à jour de gpol sur le server.

Je crois que j'ai cessé d'ouvrir une session d'ouverture de session / events de fermeture de session en: Ouverture de la politique de security locale Paramètres de security-> Configuration de la stratégie de vérification avancée-> Stratégies d'audit système-> login / fermeture de session:

Par défaut, la fermeture de la vérification et l'ouverture de session d'audit ne sont pas configurés. Cliquez avec le button droit de chaque propriété. Vérifiez Configurez les events d'audit suivants. Ne vérifiez pas le succès ou l'échec.

Après avoir appliqué cela, ces events ont cessé d'être enregistrés.

Je crois que le SBS est également très probablement votre DC, certains de ces events seraient généralement répartis sur plusieurs servers. Je risquerais de penser que les politiques d'audit sont définies par GPO des controllers de domaine par défaut ou par un autre GPO qui remplace vos parameters ici. Les politiques résolvent (ou sont utilisées) des sites, des sites, des domaines, des OU. Très probablement, la politique de controller de domaine par défaut en fait cela.

Je ne pense vraiment pas que ce soit beaucoup d'events. J'utilisais GPresult.msc pour voir d'où vient ce paramètre, puis fais le réglage.

À M