Jump to content

Berechtigungen für das Sammeln der Eventlogs

Paolo

Von Paolo
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Paolo Enthusiast

Paolo   10

Geschrieben
Geschrieben

Hallo,

 

ich habe einige W2K3 Server in einer Domäne im Einsatz und möchte die Eventlogs auslesen und zentralisiert ablegen.

 

Das funktioniert auch mit einem Account mit Domain Admin Rechten.

Nun möchte ich einen User anlegen der nur die Rechte hat, einen Scheduled Task auszuführen und die Eventlogs auszulesen.

 

Welche Rechte muss ich dem User wo geben?

 

Danke

Link zu diesem Kommentar
antares Enthusiast

antares   10

Geschrieben
Geschrieben

Hallo

Die Steuerung der eventlog Security geschieht in der Registrierung:

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

 

 

Der Eintrag ist in der sog. SDDL-Syntax und reichlich kryptisch.

Aufschluesselung des Eintrags:

 

 

O:BA Object owner is Built-in Admin (BA).

G:SY Primary group is System (SY).

D: This is a DACL, rather than an audit entry or SACL.

(D;;0xf0007;;;AN) Deny Anonymous (AN) all access.

(D;;0xf0007;;;BG) Deny Built-in Guests (BG) all access.

(A;;0xf0005;;;SY) Allow System Read and Clear, including DELETE,

READ_CONTROL, WRITE_DAC, and WRITE_OWNER (indicated by the 0xf0000).

(A;;0x7;;;BA) Allow Built-in Admin READ, WRITE and CLEAR.

(A;;0x7;;;SO) Allow Server Operators READ, WRITE and CLEAR.

(A;;0x3;;;IU) Allow Interactive Users READ and WRITE.

(A;;0x3;;;SU) Allow Service accounts READ and WRITE.

(A;;0x3;;;S-1-5-3) Allow Batch accounts (S-1-5-3) READ and WRITE.

 

Bitmuster:

0x0001 ELF_LOGFILE_READ Permission to read log files.

0x0002 ELF_LOGFILE_WRITE Permission to write log files.

0x0004 ELF_LOGFILE_CLEAR Permission to clear log files.

 

Möchtest Du einen speziellen User berechtigen das eventlog zu durchforsten so brauchst du als ersten dessen SID (dazu gibt es Skripts auf dem Netz, s. unten.) und fügst diese Zeile an obigen Eintrag an:

A;;0x2;;;SID

 

Damit ist dann der eventlog DIESES EINEN Servers konfiguriert. Für andere Server muss dieselbe Prozedur wiederholt werden.

 

 

Offizieller KB von MS:

How to set event log security locally or by using Group Policy in Windows Server 2003

 

 

weitere Infos und SID Skript unter:

"Permission denied" error while calling WSH's LogEvent method - ASP

 

 

antares

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...