Windows Server 2003(R2)でドメインを管理しているものです。 ゆゆしき事態なのですが、管理者権限ユーザーで、 担当者以外がログインしているような状況がありました。 まだ疑惑の段階なのですが、はっきりさせる為に ドメインのユーザーのログオン状況を監視できないか 客先から依頼がありました。
上記の方法を使った場合の注意点としては、同一サイトに DC が複数存在するような場合では、クライアントが認証先として選択する DC は変更される可能性があるため、当該サイトの DC 全台で監査ログを取得する必要があります。
サイトの DC が全台オフラインになっていた場合には、リモートサイトの DC にて認証が実施される場合があり、この場合にはドメイン全台の DC での監査ログの取得が必要になります。