web-dev-qa-db-fra.com

Comment permettre à un utilisateur de domaine d'écrire le journal des événements Windows (2008 R2 ou Newer) sans privilèges d'administration locaux?

Nous sommes très préoccupés par la sécurité afin que nous n'accordions pas les privilèges d'administration locaux s'il n'est pas entièrement requis ou dépanné en premier.

J'ai un fournisseur d'applications qui doit écrire le journal des événements Windows. Les informations d'identification pour exécuter leurs services proviennent d'un utilisateur de domaine générique. Cet utilisateur générique a déjà été membre du groupe "Utilisateurs de puissance", mais nous ne pouvons toujours pas écrire le journal des événements Windows. Bien sûr, si j'accomplissons l'adhésion au groupe "Administrateurs locaux", cela fonctionne bien.

Comment puis-je permettre à un utilisateur générique d'écrire sur le journal des événements Windows sur Windows Server 2008 R2 ou plus récent sans accorder aux principaux privilèges d'administration locaux?

L'utilisation d'autres comptes système tels que "système, réseau ou localservice" ne sont pas une option; Il doit fonctionner avec un utilisateur de domaine.

7
MEXLG

Vous pouvez le faire en modifiant les autorisations des entrées de registre pour le journal des événements à l'aide de Regedit.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD 

Cet article de Microsoft a les détails différents basés sur votre situation, donc je ne les répéterai pas ici.

3
uSlackr