Skapa en policy för domänkontrollanterna och aktivera följande säkerhet policys:
Network security: Restrict NTLM: Audit Incoming Traffic = Enable auditing for all accounts
Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All
Loggen skriv till eventloggen under:
Applications and Service Logs / Microsoft / Windows / NTLM