AD: delegando o acesso ao registro do computador

1

Gostaria de configurar o seguinte cenário de auditoria:
Um grande domínio do Active Directory está espalhado entre vários sites físicos, cada um contido em sua própria unidade organizacional. Os membros de um grupo de domínio não administrativo devem acessar remotamente os Logs de Eventos em cada computador de um site. Nenhum direito adicional deve ser concedido ao grupo além daqueles estritamente necessários para executar a tarefa acima mencionada.

A versão do domínio é 2003, com alguns servidores 2008R2.
Eu olhei através de assistentes de delegação e políticas de grupo sem sucesso. Conceder domínio ou direitos administrativos locais está fora de questão, mesmo que através de grupos restritos.
A auditoria de domínio global não deve ser afetada nem pode ser acessada para executar esta tarefa.

Por favor, É possível tal delegação? Se sim, como é implantada?

Obrigado,
Atenciosamente

    
por JOAT 12.04.2013 / 23:21

1 resposta

3

Você pode definitivamente fazer o que procura. É apenas uma questão de modificar os descritores de segurança padrão no log (ou logs) específico que você deseja conceder acesso.

No Windows Server 2008, há um grupo interno "Event Log Readers", que pode ser usado para conceder a outros usuários ou grupos direitos para ler os logs de eventos. Isso não ajuda você com o Windows Server 2003. Lembre-se de que há um um hotfix para um erro no arquivo groups.xml pode fazer com que as Preferências da Política de Grupo não preencham o grupo "Event Log Readers". (Eu usaria a política "Grupos restritos", pessoalmente ...)

Você também pode usar o comando wevtutil para modificar os descritores de segurança em logs de eventos no Windows Server 2008 também.

Para os computadores Windows 2003 (e Windows 2008, se desejar), cada log de eventos contém informações de configuração armazenadas em subchaves de HKLM\System\CurrentControlSet\Services\EventLog . Para modificar o descritor de segurança padrão para um determinado log, localize a subchave correspondente, adicione um valor REG_SZ denominado CustomSD e especifique o descritor de segurança no formato SDDL (security descriptor definition language). O KB323076 da Microsoft descreve o valor CustomSD e KB914392 descreve a notação SDDL (embora falhe em mencionar os direitos Ler, Escrever e Limpar (que são descrito na referência da chave do Registro EventLog ).

    
por 13.04.2013 / 06:55