Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | |
а юзер есть "member of" каких групп? 08.11.05 15:05 Число просмотров: 2266
Автор: z0 <z0> Статус: Member
|
|
<sysadmin>
|
Проблема с просмотром журналов событий Win2k3 02.11.05 14:09
Автор: Vital Статус: Незарегистрированный пользователь
|
Есть домен Win2k3. При подключении через "Управление компьютером" к любому клиентскому хосту журналы просматриваются без проблем (приложение, безопасность, система). При подключении к любому контроллеру домена и просмотре журнала (исключение - безопасность) получаю табличку отказано в доступе. При этом расшаренные папки, сервисы и прочее обозреваются без проблем.
Давал через "Управление пользователями и компьютерами" все возможные права.
Что можно сделать, чтобы можно было смотреть журналы на контроллерах домена с другого хоста?
Заранее благодарен за советы
|
| |
это хорошо видно в SD 08.11.05 14:47
Автор: z0 <z0> Статус: Member
|
что там стоит (D;;0xf0007;;;BG) то есть DENY на все для BuiltinGuest-ов
а как известно DENY старше ALLOW (потому что левее расположена ;)
|
|
Доменадминские права есть? Клиентская ОС? 02.11.05 14:48
Автор: Garick <Yuriy> Статус: Elderman
|
|
| |
Права есть. Клиентская ОС - WinXP SP2 02.11.05 15:07
Автор: Vital Статус: Незарегистрированный пользователь
|
|
| | |
Проверил на в2к рус сп4 и вХР про рус сп2 - работает. Глюк с одного клиента или нескольких(всех)? 04.11.05 09:35
Автор: Garick <Yuriy> Статус: Elderman
|
|
| | | |
Под другими клиентами нет возможности проверить, везде XP. 07.11.05 10:37
Автор: Vital Статус: Незарегистрированный пользователь
|
Под другими клиентами нет возможности проверить, везде XP.
При входе под встроенной записью администратора ошибки нет. Под моей учетной записью нет доступа.
Думаю, что проблема все же в правах, а не в клиентах.
|
| | | | |
на в2к3 для каждого евентлога есть секьюрити дескриптор 07.11.05 15:50
Автор: z0 <z0> Статус: Member
|
живет он в реестре hklm\system\currentcontrolset\services\eventlog\<имя лога>\CustomSD
выглядит примерно так:
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)"
это собственно и есть SD представленный втекстовом виде, микрософт достаточно хорошо его
документировал, смотри например http://support.microsoft.com/default.aspx?scid=kb;en-us;323076
я нормально редактировал все эти штуки и все работало как надо
единственно что - логи Application, System и Security имеют (как это видно в дизассемблированном eventlog.dll) "особый статус" что впрочем ни в чем особенном не проявляется на практике
вот раньше - в 2000 - там да, проверялось поимени_лога!) и если Security - то по-другому
обрабатывалось
|
| | | | | |
SDDL 08.11.05 11:23
Автор: Vital Статус: Незарегистрированный пользователь
|
Большое спасибо за совет. Сделал, как советовали. Для логов без доступа изменил SDDL - добавил группу DA. Перезагрузил сервер, но все осталось без изменений. Могу смотреть лишь Security.
Мои SDDL:
SECURITY
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x5;;;BA)
APPLICATION
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;DA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)
Если еще какие-нибудь соображения?
|
| | | | | | |
а юзер есть "member of" каких групп? 08.11.05 15:05
Автор: z0 <z0> Статус: Member
|
|
| | | | | | | |
администраторы 08.11.05 15:41
Автор: Vital Статус: Незарегистрированный пользователь
|
администраторы
администраторы домена
администраторы предприятия
администраторы схемы
владельцы создатели-групповой политики
пользователи домена
|
| | | | | | | | |
Решение 08.11.05 15:50
Автор: Vital Статус: Незарегистрированный пользователь
|
Всем большое спасибо, spec. NKritsky.
Проблема была из-за невнимательности, пользователь входил в группу Гости.
|
|
|