информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Атака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
 С наступающим 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Проблема с просмотром журналов событий Win2k3 02.11.05 14:09  
Автор: Vital Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Есть домен Win2k3. При подключении через "Управление компьютером" к любому клиентскому хосту журналы просматриваются без проблем (приложение, безопасность, система). При подключении к любому контроллеру домена и просмотре журнала (исключение - безопасность) получаю табличку отказано в доступе. При этом расшаренные папки, сервисы и прочее обозреваются без проблем.
Давал через "Управление пользователями и компьютерами" все возможные права.

Что можно сделать, чтобы можно было смотреть журналы на контроллерах домена с другого хоста?

Заранее благодарен за советы
посмотри 07.11.05 21:15  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
http://support.microsoft.com/default.aspx?scid=kb;en-us;888189

Кстати - у меня всё работает. Клиент - XPSP2, сервер w2k3 native.

http://support.microsoft.com/default.aspx?scid=kb;en-us;888189
это хорошо видно в SD 08.11.05 14:47  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
что там стоит (D;;0xf0007;;;BG) то есть DENY на все для BuiltinGuest-ов
а как известно DENY старше ALLOW (потому что левее расположена ;)
Доменадминские права есть? Клиентская ОС? 02.11.05 14:48  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Права есть. Клиентская ОС - WinXP SP2 02.11.05 15:07  
Автор: Vital Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Проверил на в2к рус сп4 и вХР про рус сп2 - работает. Глюк с одного клиента или нескольких(всех)? 04.11.05 09:35  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Под другими клиентами нет возможности проверить, везде XP. 07.11.05 10:37  
Автор: Vital Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Под другими клиентами нет возможности проверить, везде XP.
При входе под встроенной записью администратора ошибки нет. Под моей учетной записью нет доступа.
Думаю, что проблема все же в правах, а не в клиентах.
на в2к3 для каждого евентлога есть секьюрити дескриптор 07.11.05 15:50  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
живет он в реестре hklm\system\currentcontrolset\services\eventlog\<имя лога>\CustomSD
выглядит примерно так:
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)"
это собственно и есть SD представленный втекстовом виде, микрософт достаточно хорошо его
документировал, смотри например http://support.microsoft.com/default.aspx?scid=kb;en-us;323076

я нормально редактировал все эти штуки и все работало как надо
единственно что - логи Application, System и Security имеют (как это видно в дизассемблированном eventlog.dll) "особый статус" что впрочем ни в чем особенном не проявляется на практике

вот раньше - в 2000 - там да, проверялось поимени_лога!) и если Security - то по-другому
обрабатывалось
SDDL 08.11.05 11:23  
Автор: Vital Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Большое спасибо за совет. Сделал, как советовали. Для логов без доступа изменил SDDL - добавил группу DA. Перезагрузил сервер, но все осталось без изменений. Могу смотреть лишь Security.

Мои SDDL:
SECURITY
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x5;;;BA)

APPLICATION
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;DA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)

Если еще какие-нибудь соображения?
а юзер есть "member of" каких групп? 08.11.05 15:05  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
администраторы 08.11.05 15:41  
Автор: Vital Статус: Незарегистрированный пользователь
<"чистая" ссылка>
администраторы
администраторы домена
администраторы предприятия
администраторы схемы
владельцы создатели-групповой политики
пользователи домена
Решение 08.11.05 15:50  
Автор: Vital Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Всем большое спасибо, spec. NKritsky.
Проблема была из-за невнимательности, пользователь входил в группу Гости.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach