Eu monitora o EventID 4768 em um servidor do Active Directory para capturar logons do usuário. Até aí tudo bem ... Eu observei que todos os eventos com o usuário definido como $ são computadores.
Meu problema é que, até onde eu posso ver, tenho permissão para definir nomes de usuários como 'abc $'. Então, diferenciar com base em '$' não é o melhor caminho.
Eu também não consigo ver nenhuma outra diferença entre dois eventos, um do computador e outro do logon do usuário.
Então, como diferenciar com segurança entre usuários e computadores quando estou capturando eventos de logon?
Tive melhor sorte em monitorar diferentes números de ID de evento para eventos de login / logout. Estes são 4624 ID (login) e 4634 (logout), os dois podem ser correlacionados através do atributo LogonGUID em ambos. Outro par de IDs que são úteis: 4625 (login com falha) e 4740 (bloqueio de conta).