При работе под ограниченной учетной записью сообщения локального журнала событий отображаются нормально, для удаленного компьютера я получаю эту ошибку:
The description for Event ID ( xxxxx ) in Source ( yyyyy ) cannot be found.
The local computer may not have the necessary registry information or message
DLL files to display messages from a remote computer. You may be able to use the
/AUXSOURCE= flag to retrieve this description; see Help and Support for details.
The following information is part of the event: zzzzz.
Тот же удаленный компьютер отлично работает под администратором домена. В настоящее время я экспериментирую только со средством просмотра событий, используя Запуск от имени. Исходный выпуск - это сценарий PowerShell, который выполняет Get-EventLog.
Требуются ли какие-либо специальные разрешения для удаленного чтения сообщений журнала событий? Якобы есть простое решение в Windows 2008 и выше, т.е. просто добавьте пользователя в группу читателей журнала событий. Есть ли что-нибудь подобное для Windows 2003?
Я считаю, что проблема не столько в том, что пользователь не может прочитать журнал событий, сколько в том, что пользователь не может читать файлы сообщений журнала событий, которые используются для этих конкретных событий.
Моя запись в блоге может пролить свет на: http://www.eventlogblog.com/blog/2008/04/event-log-message-files-the-de.html.
В удаленной системе вам нужно будет идентифицировать файлы сообщений, которые используются конкретным источником событий, а затем убедиться, что пользователь, запускающий сценарий PowerShell, имеет разрешение на чтение этих файлов.
Я не пробовал, но это должен работай.
Это то, что существует для Windows 2003, хотя и очень сложный и тяжелый в обслуживании. Решение использует SDDL.