基于域管理的优点很多,但在出现问题的时候,管理人员在审计追踪问题根源时,却会觉得相当繁琐,特别是要追查安全事件相关的域用户更是如此,原因在于:
(1)            虽然Windows事件日志中对域用户登录进行审计,但往往日志量很大,查询搜索比较繁琐,只有点击查看详细日志信息后才能找到用户登录的源IP地址,缺乏针对域用户登录的集中审计,缺乏能够快速查找及查询的手段;
(2)            由于IP地址的易修改性,特别是域与DHCP结合,以及允许域用户漫游的网络,如果缺少事发时段IP地址和MAC地址的对应手段,IP地址很难作为事件追踪的主要依据。
(3)            即使知道了域用户登录的源IP和MAC地址,如果域用户拥有较高系统权限,MAC地址也易修改,如何对IP地址冒用或MAC地址“克隆”此类行为进行有效鉴别,同样会对事件的追踪定位带来很大困难
        事实上,IP+MAC作为事件追踪的依据是有很大缺陷的,原因在于IP地址和MAC地址都易修改,基于都可修改的IP+MAC来作为事件追踪的依据,理论上存在很大的缺陷和漏洞。所以即使审计类系统记录了某个IP在某个时段作了某些违规的事情,如果只是记录了IP,那么“嫌疑人”完全可以说是别人冒用的,如果同时记录了IP和MAC,那么“嫌疑人”也完全可以说是别人“克隆”的,要让审计类系统发挥有效作用,不解决这些问题,审计是不完整的、有缺陷的,对用户分析、决策和管理上的支撑作用将打折扣,作为取证的依据就更难成立了。