簡介
本文檔介紹如何使用wevtutil檢查聯結器登入事件許可權。
您可以測試聯結器是否可以使用wbemtest從DC讀取登入事件。
如果wbemtest實際上無法連線,這通常是由於WMI/DCOM許可權錯誤導致的,因此請到其他位置尋求幫助。
但是,在某些情況下,連線最緊密,但沒有顯示任何事件。
造成這種情況的原因有兩個:
- 稽核策略不正確,因此不會在DC上跟蹤登入事件。 尋求有關審計策略的幫助。
- 事件在DC上記錄,但OpenDNS_Connector沒有從安全事件日誌讀取的許可權。 繼續……
基礎知識 — 事件日誌讀取器
在大多數情況下,這只需將OpenDNS_Connector使用者新增到「事件日誌讀取器」組即可。這樣,它就具有讀取事件日誌所需的許可權。
wevtutil — 檢查許可權
在極少數情況下,事件日誌讀取器組沒有預設許可權。我們可以使用wevtutil輕鬆地檢查授予安全事件日誌的許可權。
只需運行:
wevtutil gl security
- 輸出顯示了使用SDDL語法的權限,如下所示:
channelAccess: O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-573)
- 事件日誌讀取器的SID為S-1-5-32-573,或者可以縮寫為ER。
- 十六進位制值用於許可權,例如:
- 0x1 =讀取
- 0x2 =寫入
- 0x3 =讀/寫\
修復1 — 重置為預設值
通過刪除包含自定義SDDL字串的登錄檔值,可以將許可權重置為預設值。 這是一個快速修復程式,但是可能會影響從事件日誌讀取的其他軟體(如果適用)。
從HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security刪除「CustomSD」值
修復2 — 使用wevtutil更新SDDL
在極少數情況下,我們可以使用wevtutil直接分配許可權。
- 使用以下命令獲取當前許可權(如前所述):
wevtutil gl security
- 記下通道訪問字串。 例如:
/ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)
- 計算OpenDNS_Connector使用者的SID:
wmic useraccount where name='OpenDNS_Connector' get sid
- 您可以通過將OpenDNS_Connector附加到現有通道訪問字串來授予其讀取訪問許可權,如下所示。 將<SID>替換為OpenDNS_Connector SID。
wevtutil sl security /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;<SID>)
例如,以下是「事件日誌讀取器」組的SID。
SID:S-1-5-32-573
名稱:BUILTIN\事件日誌讀取器
說明:Builtin本地組。此組的成員可以從本地電腦讀取事件日誌。
修復3 - GPO
使用此組策略設定,可以授予OpenDNS聯結器帳戶讀取(和寫入!)安全事件日誌的許可權。 從技術上講,此設定提供的許可權比所需的許可權多,但這是進行更改的一種簡單方法。
電腦配置\策略\Windows設定\安全設定\本地策略\使用者許可權分配\管理審計和安全日誌
進行更改後,請在域控制器上運行「gpupdate /force」。
附註:在Windows 2003/2003功能級別上,事件日誌讀取器組可能不存在,因此此GPO是允許OpenDNS聯結器訪問這些平台的主要方法。