Gostaria de conceder acesso de leitura a logs de eventos em todos os meus controladores de domínio, de preferência em um nível de domínio usando o GPO. Gostaria que os membros de um grupo pudessem visualizar o log do aplicativo, o log do sistema e vários logs em "logs de aplicativos e serviços", como "serviço de diretório" e "serviço de replicação de arquivos". Qual seria a melhor estratégia de fazer isso?
Por favor, note que a maioria dos meus controladores de domínio são 2008 R2
Existe um grupo incorporado apenas para este fim. Leitores de Log de Eventos. Adicione usuários ao grupo que você deseja que tenha acesso de leitura aos logs. Você pode definitivamente fazer isso via GPO. Você pode modificar a Política de Controladores de Domínio Padrão (ou criar uma no mesmo nível) se quiser que ela seja aplicada apenas aos seus DCs. Você deseja atualizar o grupo Leitores de Logs de Eventos com os usuários que você deseja ler logs de eventos em seus DCs.
É definitivamente viável, dependendo se você estiver executando o Server 2003 SP1 e mais recente ou não. Nesse caso, você pode modificar algumas configurações do Registro que permitem acesso específico ao Visualizador de Eventos, bem como aplicar configurações de GPO locais aos usuários.
A Microsoft tem um documento aqui que mostra as etapas a seguir faça exatamente o que você quer fazer.