我正在尝试让非管理员帐户仅读取(而不是更改)安全日志。总体目标是创建以降低的权限运行的小型系统,以响应不同的安全事件。系统需要以登录的非管理员用户身份运行,以便它可以与他们的桌面交互以显示各种消息(是的,我知道已经有商业解决方案可以做到这一点)。
未成功尝试:
- 授予用户对以下注册表项的“读取”权限:
。
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Security\Security
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\*
我也尝试了从父对象继承的明确权限。
- 更改 C:\Windows\System32\winevt\Logs\Security.evtx 的权限
在所有情况下,我都验证了有效权限,并重新启动了计算机,以确保 winevent 服务等知道权限更改。有什么想法吗?