我想设置下面的审计scheme:
一个大的Active Directory域分散在各个物理站点中,每个站点都包含在它自己的组织单元中。 非pipe理域组的成员必须远程访问一个站点的每台计算机上的事件日志。 除了执行上述任务所必需的权限之外,不得给予该组以外的其他权利。
域版本是2003年,与一些2008R2服务器。
我已经通过代表团的巫师和集体政策看了看,无济于事。 即使通过受限制的组织,授予域或本地pipe理权也不成问题。
全球域名审核不得受到影响,也不能访问以执行此任务。
请, 这样的委派可能吗? 如果是的话,它是如何部署的?
谢谢,
问候
你一定可以做你正在寻找的东西。 只需修改要授予访问权限的特定日志(或日志)上的默认安全描述符即可。
在Windows Server 2008中,有一个内置组“事件日志读取器”,可以用来授予其他用户或组读取事件日志的权限。 这对Windows Server 2003无帮助。请注意,有一个修补程序可能导致组策略首选项无法填充“事件日志读取器”组。 (我会使用“受限制的群体”政策,个人…)
您也可以使用wevtutil命令修改Windows Server 2008中事件日志上的安全描述符。
对于Windows 2003计算机(以及Windows 2008计算机,如果需要),每个事件日志都具有存储在HKLM\System\CurrentControlSet\Services\EventLog子项中的configuration信息。 要修改给定日志的默认安全描述符,find相应的子项,添加一个名为CustomSD的REG_SZ值,并以安全描述符定义语言(SDDL)格式指定安全描述符。 Microsoft的KB323076描述了CustomSD值 , KB914392描述了SDDL符号 (尽pipe它没有提到读取,写入和清除权限( 在EventLogregistry项参考中描述 )。