事件日志收集的所需权限

1. 授予用户管理审核和安全日志权限

“管理审核和安全日志”权限允许用户定义对象级别审核。

  • 使用域管理员权限登录域控制器→ 打开组策略管理控制台 → 右键点击"ADAudit Plus Permission GPO" → 编辑。
  • 在组策略管理编辑器中 → 点击计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略 → 用户权限指派。
  • 在右侧窗口中右键点击管理审核和安全日志 → 属性 →添加"ADAudit Plus"用户。
active-directory-audit-privileges-permissions-required-for-event-log-collection
2. 将用户添加到Event Log Readers组

事件日志读取器组的成员将能够读取所有审核计算机的事件日志。

  • 域控制器:

    • 使用域管理员权限登录域控制器 → 打开Active Directory用户和计算机 → Builtin → 在右侧栏中,右键点击Event Log Readers → 属性 → 成员 →添加"ADAudit Plus"用户。

    active-directory-audit-event-log-readers-group
  • 其他计算机(Windows服务器和工作站):

    • a.使用域管理员权限登录域控制器→ 打开组策略管理控制台 → 右键点击"ADAudit Plus Permission GPO" →编辑。

    b. 在组策略管理编辑器中 → 点击计算机配置 → 首选项 → 控制面板设置 → 右键点击本地用户和组 → 新建 → 本地组 → 选择组名下的Event Log Readers组 → 添加"ADAudit Plus"用户。

    active-directory-audit-local-usersgroup
注意: 如果要读取事件日志,您还需要赋予"ADAudit Plus"用户HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security读取权限。
  • 使用域管理员权限登录域控制器 → 打开组策略管理控制台 → 右键点击"ADAudit Plus Permission GPO" → 编辑。
  • 在组策略管理编辑器中 → 点击计算机配置 → 策略 → Windows设置 → 安全设置 → 右键点击注册表 → 添加项。
  • 在选择注册表项窗口中,点击MACHINE → SYSTEM → CurrentControlSet → Services → EventLog → Security → 点击确认 → 赋予读取权限给"ADAudit Plus"用户 → 点击应用。
版权所有 © 2022 卓豪(中国)技术有限公司,保留一切权利