Я хочу настроить следующий сценарий аудита:
Большой домен Active Directory разбросан по различным физическим сайтам, каждый из которых находится в своей собственной организационной единице. Члены неадминистративной доменной группы должны иметь удаленный доступ к журналам событий на каждом компьютере одного сайта. Группе не должны предоставляться никакие дополнительные права, кроме тех, которые строго необходимы для выполнения вышеупомянутой задачи.
Версия домена - 2003, с некоторыми серверами 2008R2.
Я просмотрел мастера делегирования и групповые политики безрезультатно. О предоставлении доменных или локальных прав администратора не может быть и речи, даже если через группы с ограниченным доступом.
На глобальный аудит домена нельзя влиять, и к нему нельзя получить доступ для выполнения этой задачи.
Пожалуйста, Возможно ли такое делегирование? Если да, то как это происходит?
Спасибо,
С уважением
Вы определенно можете делать то, что ищете. Это просто вопрос изменения дескрипторов безопасности по умолчанию в конкретном журнале (или журналах), к которому вы хотите предоставить доступ.
В Windows Server 2008 есть встроенная группа «Читатели журнала событий», которую можно использовать для предоставления другим пользователям или группам прав на чтение журналов событий. Это не поможет вам с Windows Server 2003. Имейте в виду, что есть исправление ошибки в groups.xml файл это может привести к тому, что предпочтения групповой политики не смогут заполнить группу «Читатели журнала событий». (Я бы лично использовал политику "Группы с ограниченным доступом" ...)
Вы также можете использовать wevtutil также для изменения дескрипторов безопасности в журналах событий в Windows Server 2008.
Для ваших компьютеров с Windows 2003 (и компьютеров с Windows 2008, если хотите) каждый журнал событий содержит информацию о конфигурации, хранящуюся в подразделах HKLM\System\CurrentControlSet\Services\EventLog. Чтобы изменить дескриптор безопасности по умолчанию для данного журнала, расположенный в соответствующем подразделе, добавьте значение REG_SZ с именем CustomSDи укажите дескриптор безопасности в формате языка определения дескрипторов безопасности (SDDL). Microsoft KB323076 описывает CustomSD стоимость, и KB914392 описывает нотацию SDDL. (хотя в нем не упоминаются права чтения, записи и очистки ( описано в справке по разделу реестра EventLog).