Con la auditoría de objetos y la configuración de auditoría de directorio aplicadas correctamente, todos los eventos de acceso al sistema de archivos necesarios se registran en el registro de eventos Security . Al realizar cambios localmente (por ejemplo, a C:\Share ), los registros de eventos se generan perfectamente. Sin embargo, cuando se realizan cambios a través de un recurso compartido desde una máquina remota (por ejemplo, C:\Share expuesto a través de \Server\Share ), se crea una entrada de registro, pero no se reemplazaron todos los valores esperados, como Security ID y Account Name . correctamente y solo contienen los campos de marcador de posición %1 , %2 , %3 etc.
Las entradas con valores perdidos como este solo se crean cuando se realizan cambios desde otra máquina en la red. Probado con múltiples usuarios provenientes de múltiples máquinas en la misma red y dominio, todos con el mismo resultado, nada más está creando entradas como esta. Otras máquinas con la misma política de auditoría de objetos y la configuración de auditoría aplicada al directorio de destino funcionan correctamente, solo ocurre en un servidor Windows 2012 no autorizado.
¿Alguien ha visto esto antes? ¿Qué podría hacer que los campos de marcador de posición no se establezcan?
Parece bastante crítico, ya que la falla para crear una entrada de auditoría de seguridad es un gran problema, especialmente para el acceso remoto al sistema de archivos.