Existe um grupo incorporado apenas para este fim. Leitores de Log de Eventos. Adicione usuários ao grupo que você deseja que tenha acesso de leitura aos logs. Você pode definitivamente fazer isso via GPO. Você pode modificar a Política de Controladores de Domínio Padrão (ou criar uma no mesmo nível) se quiser que ela seja aplicada apenas aos seus DCs. Você deseja atualizar o grupo Leitores de Logs de Eventos com os usuários que você deseja ler logs de eventos em seus DCs.