Recentemente, ativamos a auditoria em um GPO e, quando usuários de nível não administrativo fazem login, um erro sobre o "Registro de segurança está cheio" é apresentado. Para contornar isso por enquanto, tive que adicionar o usuário do AD como administrador local, para que o log de segurança pudesse ser substituído. Qual é a prática recomendada para manter a auditoria ativada e não ter que conceder direitos de administrador local a cada usuário? Estes são clientes WinXP, com um servidor Win2k8.
Use um GPO para ajustar suas configurações de Logs de eventos conforme apropriado ao seu ambiente. Você pode alterar o tamanho máximo, definir o método de retenção e alterar o tipo de "encapsulamento" para que o sistema substitua automaticamente os eventos conforme necessário, por exemplo.
Eles são encontrados em Computer Configuration - > Policies - > Windows Settings - > Security Settings - > Event Log .
