информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Очередное исследование 19 миллиардов...   Оптимизация ввода-вывода как инструмент...   Зловреды выбирают Lisp и Delphi
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / sysadmin		Имя Пароль

	если вы видите этот текст, отключите в настройках форума использование JavaScript

ФОРУМ
	все доски
	FAQ
	IRC
	новые сообщения
	site updates
	guestbook
	beginners
	sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация

Легенда:   новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение

• Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
• Новичкам также крайне полезно ознакомиться с данным документом.

									Решение 08.11.05 15:50  Число просмотров: 2336 Автор: Vital Статус: Незарегистрированный пользователь <"чистая" ссылка>
									Всем большое спасибо, spec. NKritsky. Проблема была из-за невнимательности, пользователь входил в группу Гости.
									<sysadmin>

Проблема с просмотром журналов событий Win2k3 02.11.05 14:09   Автор: Vital Статус: Незарегистрированный пользователь <"чистая" ссылка>

Есть домен Win2k3. При подключении через "Управление компьютером" к любому клиентскому хосту журналы просматриваются без проблем (приложение, безопасность, система). При подключении к любому контроллеру домена и просмотре журнала (исключение - безопасность) получаю табличку отказано в доступе. При этом расшаренные папки, сервисы и прочее обозреваются без проблем. Давал через "Управление пользователями и компьютерами" все возможные права. Что можно сделать, чтобы можно было смотреть журналы на контроллерах домена с другого хоста? Заранее благодарен за советы

	посмотри 07.11.05 21:15   Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman <"чистая" ссылка>
	http://support.microsoft.com/default.aspx?scid=kb;en-us;888189 Кстати - у меня всё работает. Клиент - XPSP2, сервер w2k3 native. http://support.microsoft.com/default.aspx?scid=kb;en-us;888189

		это хорошо видно в SD 08.11.05 14:47   Автор: z0 <z0> Статус: Member <"чистая" ссылка>
		что там стоит (D;;0xf0007;;;BG) то есть DENY на все для BuiltinGuest-ов а как известно DENY старше ALLOW (потому что левее расположена ;)

	Доменадминские права есть? Клиентская ОС? 02.11.05 14:48   Автор: Garick <Yuriy> Статус: Elderman <"чистая" ссылка>

		Права есть. Клиентская ОС - WinXP SP2 02.11.05 15:07   Автор: Vital Статус: Незарегистрированный пользователь <"чистая" ссылка>

			Проверил на в2к рус сп4 и вХР про рус сп2 - работает. Глюк с одного клиента или нескольких(всех)? 04.11.05 09:35   Автор: Garick <Yuriy> Статус: Elderman <"чистая" ссылка>

				Под другими клиентами нет возможности проверить, везде XP. 07.11.05 10:37   Автор: Vital Статус: Незарегистрированный пользователь <"чистая" ссылка>
				Под другими клиентами нет возможности проверить, везде XP. При входе под встроенной записью администратора ошибки нет. Под моей учетной записью нет доступа. Думаю, что проблема все же в правах, а не в клиентах.

					на в2к3 для каждого евентлога есть секьюрити дескриптор 07.11.05 15:50   Автор: z0 <z0> Статус: Member <"чистая" ссылка>
					живет он в реестре hklm\system\currentcontrolset\services\eventlog\<имя лога>\CustomSD выглядит примерно так: "O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)" это собственно и есть SD представленный втекстовом виде, микрософт достаточно хорошо его документировал, смотри например http://support.microsoft.com/default.aspx?scid=kb;en-us;323076 я нормально редактировал все эти штуки и все работало как надо единственно что - логи Application, System и Security имеют (как это видно в дизассемблированном eventlog.dll) "особый статус" что впрочем ни в чем особенном не проявляется на практике вот раньше - в 2000 - там да, проверялось поимени_лога!) и если Security - то по-другому обрабатывалось

						SDDL 08.11.05 11:23   Автор: Vital Статус: Незарегистрированный пользователь <"чистая" ссылка>
						Большое спасибо за совет. Сделал, как советовали. Для логов без доступа изменил SDDL - добавил группу DA. Перезагрузил сервер, но все осталось без изменений. Могу смотреть лишь Security. Мои SDDL: SECURITY O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x5;;;BA) APPLICATION O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;DA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3) Если еще какие-нибудь соображения?

							а юзер есть "member of" каких групп? 08.11.05 15:05   Автор: z0 <z0> Статус: Member <"чистая" ссылка>

								администраторы 08.11.05 15:41   Автор: Vital Статус: Незарегистрированный пользователь <"чистая" ссылка>
								администраторы администраторы домена администраторы предприятия администраторы схемы владельцы создатели-групповой политики пользователи домена

									Решение 08.11.05 15:50   Автор: Vital Статус: Незарегистрированный пользователь <"чистая" ссылка>
									Всем большое спасибо, spec. NKritsky. Проблема была из-за невнимательности, пользователь входил в группу Гости.

1

Copyright © 2001-2025 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach