Как просматривать журнал событий Windows удаленно с ограниченными правами

Question

Для отладки некоторого кода я хотел бы просмотреть журнал событий Windows на удаленном компьютере (цель - Windows2003). С mmc.exe я могу добавить журнал событий для удаленной машины, но только если у меня есть достаточные разрешения. Для этой удаленной машины они не хотят давать мне разрешения на удаленный вход (или в этом отношении права администратора). Могу ли я получить конкретное разрешение на просмотр журнала событий и ничего больше?

Answer 1

В новых версиях Windows (Windows 7, Windows Server 2008 ...) вы можете просто добавить соответствующую учетную запись во встроенную группу Читатели журнала событий .

Источник: веб-журнал Джейн Льюис на TechNet, Предоставление не администраторам разрешения на чтение журналов событий Windows 2003 и Windows 2008

Этот источник также описывает альтернативу, если вам нужен более детальный контроль.

(ОП попросил Windows 2003, где этот метод не работает, но поскольку Windows Server 2003 больше не поддерживается, люди могут заинтересоваться этим методом.)

Answer 2

Для журнала безопасности пользователям необходима привилегия «Управление журналом аудита и безопасности»

Для журналов системы и приложений вы сможете читать их как гостя, если они не установили значение RestrictGuestAZccess в следующих разделах реестра: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ EventLog \ System HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ EventLog \ Application

Answer 3

Джошуа Фланаган описал процесс для делегирования прав путем изменения дескриптора безопасности журналов событий.

Answer 4

Один из вариантов - получить локальный идентификатор , который входит в группу удаленного локального администратора.

Затем, из вашей системы, сопоставьте диск на удаленном сервере , используя новый удаленный локальный идентификатор.

Создайте новую MMC из Windows Запустите меню Пуск - набрав MMC / a

Добавить оснастку EventView

Когда вам будет предложено указать локальный или удаленный сервер - введите имя хоста сервера, которому вы сопоставлены.

Совет: Windows использует установленное безопасное соединение - если может. Отсюда трюк с картой работает ОЧЕНЬ хорошо.

Обратите внимание: я использую этот трюк с запросами WMI - следовательно, запрос никогда не завершается с проблемой тайм-аута.

Answer 5

Добавьте пользователя домена (без прав администратора) в группу «Читатели журнала событий» на целевом сервере. Затем с исходного сервера вы можете использовать стандартные учетные данные пользователя для доступа и чтения журналов событий на цели.

Answer 6

Если бы вы могли включить веб-доступ к серверу, вы могли бы использовать страницу просмотра событий , которую я опубликовал некоторое время назад. Это позволило бы администраторам запускать веб-сайт с достаточными правами для просмотра журнала событий без предоставления вам учетной записи для входа в систему ...