Profissionais TI - Pra quem respira informação

Não seria mais fácil utilizar a política de ocultar o último usuário que utilizou o computador? Deixar o usuário Administrador como padrão pode fazer com que o usuário tente acessar a conta até que a mesma bloqueie por erro de senha, se ativada.

Também não entendi a funcionalidade disto. Já ocultar o último acesso, como mencionado pelo Diego, é muito mais vantajoso dentro deste cenário mencionado.

Outra questão que deve ficar claro é: Auditoria é uma coisa. Investigação é outra.
Se um dos motivos, para utilizar esse tutorial, é tratar com um suspeito, não se trata de auditoria. Auditoria sempre será feita com o consenso do usuário do device. O certo seria o autor utilizar o termo investigar. Mas também não há motivos para tanto procedimento. Há outros meios mais simples e produtivos para tal ação, como os indicados nos outros comentários.

Pessoal,
Concordo com a opinião de vocês mas este artigo é gera uma ampla discussão pois como sabem cada empresa tem suas particularidades e o artigo é de certa forma tendencioso a um processo de investigação como menciona o Fagner mas mencionei o processo de auditoria pois no mundo corporativo o departamento de auditoria/segurança que sinaliza uma possível suspeita inicia um processo de “investigação” para certificar a procedência de um possível “incidente”.
Mas o objetivo é causar a discussão mesmo e também compartilhar experiências. Obrigado!