Changement de stratégies

Toutefois, la catégorie Changement de Stratégie journalise les autres changements associés à la configuration de la sécurité, y compris les changements apportés aux relations d’approbation, à la stratégie Kerberos, à EFS (Encrypting File System) et la qualité de service (QoS).

Nouveau dans Windows 2003 : Dans Win2K, event ID 615 est dans la catégorie Detailed Tracking. Dans Windows 2003, il passe dans la catégorie Policy Change. Ce n’est qu’un exemple des changements inutiles et déroutants que j’ai découverts en comparant les événements de Win2K et de Windows 2003.
Autre changement intéressant : la documentation indique que Windows journalise les event ID 608 et 609 quand un droit utilisateur est assigné ou révoqué, respectivement. En réalité, Win2K ne journalise pas du tout ces événements. Windows 2003 journalise les event ID 608 et 609 pour les changements apportés aux assignations de droits utilisateur, sauf pour les droits de logon comme Allow logon locally et Access this computer from the network. Windows 2003 journalise les changements à ces assignations de droits de logon avec les event ID 621 et 622 (accès à la sécurité système accordé et révoqué, respectivement) plutôt qu’avec les event ID 608 et 609 documentés. De tels changements inexplicables et non documentés sèment le trouble dans le logiciel de supervision et de reporting qui filtre et analyse les événements d’après la catégorie, l’event ID, ou la position prévue des champs dans la description.