Die Ereignis-ID 624 (User Account Created; Benutzerkonto wurde erstellt) gibt einen Überblick über neue Domänenkonten für Benutzer auf den DCs. Es ist aber empfehlenswert, dass auch die Mitgliedsserver auf dieses Ereignis hin überwacht werden. Lokale SAM-Konten sind aus Sicherheitsgründen normalerweise unerwünscht, denn sie sind nicht den zentralisierten Kontrollen und der zentralisierten Überwachung der Domänenkonten unterworfen. In diesem Zusammenhang hilft die Ereignis-ID 624 auch die lokalen SAM-Konten im Griff zu behalten und von Eindringlingen erstellte „Backdoor“-Konten zu entdecken.

Das Überwachen des Hinzufügens neuer Mitglieder zu einer Gruppe ist ebenfalls von hoher Wichtigkeit. Auf DCs sollte dazu auf die Ereignis-ID 632 (Security Enabled Global Group Member Added; Globales Gruppenmitglied mit aktivierter Sicherheit wurde hinzugefügt), die Ereignis-ID 636 (Security Enabled Local Group Member Added; Lokales Gruppenmitglied mit aktivierter Sicherheit wurde hinzugefügt) und die Ereignis-ID 660 (Security Enabled Universal Group Member Added; Universelles Gruppenmitglied mit aktivierter Sicherheit wurde hinzugefügt) geachtet werden, um den Zeitpunkt zu erkennen, zu dem neue Mitglieder einer Gruppe hinzugefügt wurden. Da SAMs nur lokale Gruppen erlauben, kann man sich bei Mitgliedsservern auf das Überwachen der Ereignis-ID 636 beschränken. Alle drei Ereignis-IDs geben die jeweilige Gruppe, das neue Mitglied und den Benutzer an, der die Änderung vornahm. Die Ereignis-ID 632 offenbart, dass der Benutzer rsmith der globalen Gruppe Domänenadministratoren (Domain Admins) das Konto Gast hinzugefügt hat (Bild 4). Für die Suche nach unbefugten Computern dient die Ereignis-ID 645 (Computer Account Created; Computerkonto wurde erstellt), mit dem sich das Hinzufügen neuer Computer zu einer Domäne überwachen lässt.