Задача
Предоставить разрешения на просмотр Windows Logs пользователю, не имеющему административных привилегий в рамках системы.
Решение
Необходимо произвести несколько довольно своеобразных действий:
- Для конкретного объекта - узнать его SID (пользователя или группы);
- Внести изменения в системный реестр;
Реестр
Необходимый ключ находится в ветке (в данном случае Application, к остальным в соотвествии - System, Security и т.п.):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
Имя ключа - CustomSD
Значения по умолчанию:
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)
Где 0х3, f0007 - это разрешения, типы разрешений могут быть:
1 - Чтение
2 - Запись
4 - Очистка
Для того, чтобы предоставить соответствующие разрешения, к примеру с правом - чтение, необходимо к существующим значениям добавить - для конкретного пользователя:
(A;;0x1;;;S-1-5-21-1078081533-789336058-1708537768-24166)
к примеру для аутентифицированных пользователей:
(A;;0x1;;;AU)
т.е. в конечном итоге значение будет выглядеть следующим образом:
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x1;;;S-1-5-21-1078081533-789336058-1708537768-24166)(A;;0x1;;;AU)
Доп. инфо
| < Предыдущая | Следующая > |
|---|
