Да, да, именно шок.
Преамбула - поставлена задача: найти, кто сидел за конкретным компьютером в определенный промежуток при условии, что сотрудники могут пересаживаться. Казалось бы, что сложного, открываем журнал Security и смотрим логи. Проблема в том, что требуемый промежуток - это уже довольно дальнее прошлое, в текущих логах уже давным давно стертое. Ладно, есть бекапы. Открываем их, лезем в заветную папку %windir%\system32\config, ищем там secevents.evt... и понимаем, что в полном бекапе контроллера домена этого лога нет. Как нет и любого другого из системного журнала событий. Вдумчивое ковыряние гугла подтверждает мысль - ntbackup даже при полном резервном копировании не сохраняет логи. Это касается Windows 2003 Server, платформу 2008 на это еще не тестировали (есть повод создать новую виртуальную машину и поиздеваться над ней).
Что ж, задачу удалось решить, но несколько иным и довольно кривым методом, но осадок остался. Одновременно с этим встал вопрос - что делать с бекапом логов. В итоге был найден и доработан напильником вот такой скрипт:
Backup Security Events.vbsBackup Security Events.vbs

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")

'получаем коллекцию событий из журнала Security
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName='Security'")

'определяем имя переменной, хранящей имя компьютера
Set objNetwork = CreateObject("Wscript.Network")
strComputerName = objNetwork.ComputerName

'определяем путь к бекап-файлу (в имени будут использоваться текущий день, месяц и год)
strBackupFileName = "\\server-share\" & strComputerName & "\Security-" & cint(day(date())) & "-" & cint(month(date())) & "-" & cint(year(date())) & ".evt"

' непосредственно сброс выбранной коллекции в файл
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog(strBackupFileName)
If errBackupLog <> 0 Then
Wscript.Echo "The Security event log could not be backed up."

Else

End If
Next

Далее - Планировщик задач и задача по созданию резервной копии журнала на регулярной основе.