Estoy intentando crear registros en el Visor de eventos de Windows para cuando un usuario usa "usuario / dominio de red [USUARIO]".
Hasta ahora, lo que he hecho fue habilitar el evento SAM de auditoría en la directiva de grupo local, y parece que funciona. Sin embargo, quiero configurar la auditoría para desencadenar un evento solo cuando se tocan cuentas muy específicas con el comando anterior. Si es posible, el único evento que me interesa es EventID 4661 SAM_USER.
Por ejemplo, si un usuario utiliza un administrador de usuario / dominio de red, me gustaría que se active un evento, pero no para el usuario / dominio de red JohnDoe.
Podría auditar a todos como lo estoy haciendo ahora, pero se están creando demasiados registros.
Intenté seguir las instrucciones aquí: enlace
Pero parece que estos métodos son para servidores más antiguos.
Quiero aplicar la auditoría a usuarios específicos que desencadenarán el evento. No solo cuando alguien es tocado.