授予用户仅能查看服务器日志权限
问题
答案
-
您好!
在 Microsoft Windows Server 2003 中,可以自定义计算机上每个事件日志的权限。您可以为 IT 组的某些成员授予对一个或多个系统事件日志的只读权限。访问控制列表 (ACL) 作为安全描述符定义语言 (SDDL) 字符串,在注册表中每个事件日志的 REG_SZ 值“CustomSD”中存储,如下所示:
HKEY_LOCAL_MACHINE
\System\CurrentControlSet\Services\EventLog\CustomSD Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)可以编辑此值,然后重新启动计算机,以使新设置生效。
警告:在编辑注册表值时一定要小心,因为注册表编辑器工具中没有“撤销”功能。如果您在使用该工具时进行了错误操作,必须手动进行更正。另外,可能有时您在事件日志上配置的 ACL 没人能够访问。一定要在处理之前充分了解 SDDL 以及每个事件日志上的默认权限。另外,在生产环境中实现任何更改之前一定要进行充分测试。
更多信息请您参考以下文章:
事件日志
http://www.microsoft.com/china/technet/security/guidance/secmod53.mspx#ECG
希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
立刻免费下载 TechNet 论坛好帮手
- 已建议为答案 Anfield.KOP 2012年11月7日 7:42
- 已标记为答案 Tom Zhang – MSFTModerator 2012年11月14日 5:57
全部回复
-
您好!
在 Microsoft Windows Server 2003 中,可以自定义计算机上每个事件日志的权限。您可以为 IT 组的某些成员授予对一个或多个系统事件日志的只读权限。访问控制列表 (ACL) 作为安全描述符定义语言 (SDDL) 字符串,在注册表中每个事件日志的 REG_SZ 值“CustomSD”中存储,如下所示:
HKEY_LOCAL_MACHINE
\System\CurrentControlSet\Services\EventLog\CustomSD Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)可以编辑此值,然后重新启动计算机,以使新设置生效。
警告:在编辑注册表值时一定要小心,因为注册表编辑器工具中没有“撤销”功能。如果您在使用该工具时进行了错误操作,必须手动进行更正。另外,可能有时您在事件日志上配置的 ACL 没人能够访问。一定要在处理之前充分了解 SDDL 以及每个事件日志上的默认权限。另外,在生产环境中实现任何更改之前一定要进行充分测试。
更多信息请您参考以下文章:
事件日志
http://www.microsoft.com/china/technet/security/guidance/secmod53.mspx#ECG
希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
- 已建议为答案 Anfield.KOP 2012年11月7日 7:42
- 已标记为答案 Tom Zhang – MSFTModerator 2012年11月14日 5:57
