我想设置以下审计场景:
大型 Active Directory 域分散在各个物理站点中,每个站点都包含在自己的组织单位中。非管理域组的成员必须远程访问一个站点的每台计算机上的事件日志。除了执行上述任务所严格要求的权限外,不应向该组授予任何其他权限。
域版本是 2003,有些服务器是 2008R2。
我查看了委派向导和组策略,但无济于事。授予域或本地管理权限是不可能的,即使通过受限组也是如此。
全局域审计不能受到影响,也不能被访问以执行此任务。
请,这样的委派可能吗?如果有,那么是如何部署的?
感谢和
问候
答案1
您绝对可以做到您想做的事情。只需修改要授予访问权限的特定日志(或多个日志)上的默认安全描述符即可。
在 Windows Server 2008 中有一个内置组“事件日志读取器”,可用于授予其他用户或组读取事件日志的权限。这对 Windows Server 2003 没有帮助。请注意,groups.xml
针对文件错误的修复程序这可能会导致组策略首选项无法填充“事件日志读取器”组。(我个人会使用“受限组”策略……)
您还可以使用wevtutil
命令也可以修改 Windows Server 2008 中的事件日志上的安全描述符。
对于 Windows 2003 计算机(如果需要,还有 Windows 2008 计算机),每个事件日志的配置信息都存储在 的子项中HKLM\System\CurrentControlSet\Services\EventLog
。要修改给定日志的默认安全描述符,请找到相应的子项,添加名为 的 REG_SZ 值CustomSD
,并以安全描述符定义语言 (SDDL) 格式指定安全描述符。Microsoft 的KB323076 描述了CustomSD
值, 和KB914392 描述了 SDDL 符号(尽管它没有提到读取、写入和清除权限(即EventLog 注册表项参考中描述了)。