2 votes

Michel de Crevoisier avatar

Les changements de permissions sur le journal des événements de Windows ne fonctionnent pas (changement de GPO)

Demandé el 10 de Avril, 2019
Quand la question a-t-elle été
1595 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'accorder des autorisations au compte de service réseau (SID S-1-5-20) sur le journal des événements. "Microsoft-Windows-CAPI2/Opérationnel" (voir photo ci-dessous). Cependant, je dois appliquer ce changement à plus de 1000 serveurs, et d'autres vont arriver. Ma solution doit donc être liée d'une manière ou d'une autre à une GPO (j'essaie d'éviter l'utilisation d'un script avec la GPO pour des raisons techniques).

CAPI2 event log

Selon le instructions de Microsoft, vous devez le faire :

  1. Créez une nouvelle clé de registre nommée "CustomSD" sous la clé du journal d'événements concerné dans le répertoire HKL M:\SYSTEM\CurrentControlSet\services\eventlog\custom_log '
  2. Créez une chaîne "CustomSD" avec les permissions appropriées définies dans le SSDL. format : O:BAG:SYD :(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;;S-1-5-20)
  3. Redémarrer l'hôte et vérifier les permissions

Cependant, lorsque je redémarre l'hôte et que je vérifie les permissions à l'aide des commandes suivantes, je constate que les nouvelles permissions ne sont pas appliquées :

wevtutil get-log "Microsoft-Windows-CAPI2/Operational"  OR
Get-WinEvent -ListLog "Microsoft-Windows-CAPI2/Operational"  | Format-List -Property *

SDDL permissions

Là où je suis confus, c'est que seules les clés suivantes liées aux journaux d'événements principaux sont disponibles dans : " ". HKL M:\SYSTEM\CurrentControlSet\services\eventlog\ '

Registry log

Et dans mon cas, j'ai essayé de :

  • créer une nouvelle clé de registre dans ' HKL M:\SYSTEM\CurrentControlSet\services\eventlog\CAPI2 " >> n'a pas fonctionné

enter image description here

  • créer la clé de registre dans le chemin suivant 'HKL M:\SYSTEM\CurrentControlSet\services\eventlog\application\Microsoft -Windows-CAPI2 puisque le nom du journal des événements était présent >> n'a pas fonctionné Custom SD on CAPI

Ce que je veux dire, c'est que je ne comprends pas pourquoi les autorisations ne sont pas mises à jour. Est-ce que je fais quelque chose de mal ? J'ai également vérifié les éléments suivants lien mais il semble qu'elle ne s'applique qu'au journal des événements disponible dans ' HKL M:\SYSTEM\CurrentControlSet\services\eventlog\ ' .

Demandé el 10 de Avril, 2019 par Michel de Crevoisier

Réponses

Trop de publicités?

1voto

Michel de Crevoisier avatar
Michel de Crevoisier Points 531

Grâce à l'excellente réponse de @GregAskew, j'ai pu pousser les permissions du journal des événements sur GPO. Mes étapes étaient les suivantes :

  1. Créez une nouvelle GPO et accédez aux paramètres du registre (disponibles dans Ordinateur > Préférences > Paramètres Windows > Registre) pour mettre à jour l'entrée "ChannelAccess". gpo registry
  2. Ajoutez les autorisations appropriées au format SDDL dans le champ Données de valeur : Value data
  3. Activez le journal des événements CAPI2 (désactivé par défaut) en mettant à jour la clé de registre "Enabled" à 1. enabled
  4. En conséquence, ma GPO ressemble à ceci : GPO result

Une fois que la GPO est activée et appliquée, vous pouvez vérifier votre cible l'application correcte des permissions en accédant au chemin suivant du registre chemin suivant dans le registre

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<event log>

enter image description here

Répondu el 12 de Avril, 2019 par Michel de Crevoisier (531 Points )

0voto

Thecamelcoder avatar
Thecamelcoder Points 11

J'utilise wevtutil pour définir les permissions :

wevtutil set-log "Microsoft-Windows-CAPI2/Operational" /channelaccess:O:BAG:SYD:(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;;S-1-5-20)

wevtutil get-log "Microsoft-Windows-CAPI2/Operational"

name: Microsoft-Windows-CAPI2/Operational
enabled: false
type: Operational
owningPublisher: Microsoft-Windows-CAPI2
isolation: Application
channelAccess: O:BAG:SYD:(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;;S-1-5-20)
logging:
  logFileName: %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-CAPI2%4Operational.evtx
  retention: false
  autoBackup: false
  maxSize: 1052672
publishing:
  fileMax: 1
Répondu el 10 de Avril, 2019 par Thecamelcoder (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X