Ah, OK, das habe ich so aus der Völk Antwort nicht erkennen können, danke! :)
Ich habe das ganze jetzt noch mal etwas aufbereitet um mir den Unterschied zwischen Anmeldeereignis und Anmeldeversuch klar zu machen. Hier läuft ein 2003 Server und ein Windows 2000 Client, beide als virtuelle Maschine mit Virtual PC 2004.
Es gibt entweder die Möglichkeit, die Einstellungen über die Default Domain Controllers Policy (DDCP) oder über die Default Domain Policy ((DDP) was man an einem produktiv genutzten System nicht tun sollte, siehe Beitrag von mcselede!) vorzunehmen.
Die Aktivierung von "Anmeldeversuche überwachen" in der DDP führt zu keinem Eintrag im Sicherheitsprotokoll wenn sich der Client am AD anmeldet, weder am Client noch am DC. Die Einstellung "Anmeldeereignisse überwachen" führt zu einem Eintrag (event ID: 528) am Client.
Wenn "Anmeldeversuche überwachen" in der DDCP aktiviert wird, bekomme ich Einträge im Sicherheitsprotokoll des Servers, allerdings sind dies nur 67x IDs, welche von diversen "Ticketanforderungen" berichten. Wenn ich "Anmeldeereignisse überwachen" in der DDCP aktiviere bekomme ich Einträge im Sicherheitsprotokoll des DC, die wohl am meisten Sinn machen, mit der event ID 540. Was mich etwas irritiert ist, daß als letzte Einträge immer welche mit der event ID 538 auftauchen ("Der Abmeldevorgang wurde für einen Benutzer durchgeführt"). Was soll das? Abgemeldet habe ich den Benutzer nicht und der Eintrag folgt direkt, ohne Pause, auf die Anmeldung.
Mir ist auch nicht so ganz klar, wozu die Überwachung der "Anmeldeversuche" gut ist, die Einträge die ich durch die Überwachung der "Anmeldeereignisse" bekomme sind irgendwie aussagekräftiger.
Danke und Gruß,
Simon