Tendo um problema com a auditoria de uma rede para logins. Eu estou procurando o evento 4740, mas os logs não estão mostrando. Nem nas máquinas locais também.
Verifiquei que Auditoria do gerenciamento de contas foi ativado e está definido como Sucesso e falha e verifiquei a política Logon / Logoff para bloqueio de conta para sucesso . Eu testei a conta em uma máquina de domínio e o log na máquina mostra a falha da conta, mas nunca registra que a conta está bloqueada.
Quando verifico os controladores de domínio, a conta não consegue fazer login, mas está exibindo NULL SID . Mesmo assim, também não mostra o evento de bloqueio.
De qualquer forma, para descobrir por que não está registrando o evento Lockout com ele habilitado para isso?