今天测试了一下只开“帐户登录”，用远程桌面登录上去，可以看到一个帐户登陆成功的日志，但是并没有记录从哪台机器登录的。再打开“登陆事件”，再次通过远程桌面登陆，系统安全性日志能够看到登录用户和登录机器的源IP。这时通过SMB访问共享的目录，日志中也有登录事件的日志，只是事件ID等信息和远程桌面登录并不一样。所以Windows系统要审计所有的登录，应该开启“登录事件”而不是只开“帐户登录”。需要区分不同类型的登录，可以对事件ID进行排序;-)。