Eventlogs freigeben
Alexander Freund
hat jemand eine Idee, wie auf meinen DC's (alle W2k3 SP1) die Eventlogs
einer bestimmten Nutzergruppe zum lesen freigeben kann?
Schönen Gruß,
Alexander Freund
Winfried Sonntag [MVP]
> hat jemand eine Idee, wie auf meinen DC's (alle W2k3 SP1) die Eventlogs
> einer bestimmten Nutzergruppe zum lesen freigeben kann?
Hier gehts los:
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm
und hier ist das Template für die Logs:
http://www.gruppenrichtlinien.de/adm/eventlog.txt
Servus
Winfried
--
W2K-FAQ: http://w2k-faq.ebend.de/
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Alexander Freund
"Winfried Sonntag [MVP]" <Winfried...@gmx.de> schrieb im Newsbeitrag
news:j0sf08n2...@ID-163725.user.individual.de...
> Hier gehts los:
> http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm
Was soll ich hiermit genau machen? Lokale Gruppen?? Auf einem DC?
Also ich möchte nicht, dass die User Admin werden. Die User sollen nur
Zugriff auf die Logs haben.
> und hier ist das Template für die Logs:
> http://www.gruppenrichtlinien.de/adm/eventlog.txt
Danke für das Template. Das muss ich mir noch ansehen, vielleicht kann ich
es trotzdem verwenden.
Gruß,
Alex
Mark Heitbrink [MVP]
Alexander Freund schrieb:
> hat jemand eine Idee, wie auf meinen DC's (alle W2k3 SP1) die Eventlogs
> einer bestimmten Nutzergruppe zum lesen freigeben kann?
Leider nicht ganz so simpel wie Winfried schrieb, da es nicht um die
Größensteuerung oder das Verhalten der Logs per GPO geht, sondern
an dem Problem der Zugriffsberechtigung scheitert:
http://www.gruppenrichtlinien.de/HowTo/Berechtigungen_auf_Ereignisprotokoll.htm
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
extend GPO: www.desktopstandard.com
PM: Vorname@Homepage, Versende-Adresse wird nicht abgerufen.
Winfried Sonntag [MVP]
> Danke Winfried,
Bitte.
>> Hier gehts los:
>> http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm
> Was soll ich hiermit genau machen? Lokale Gruppen?? Auf einem DC?
> Also ich möchte nicht, dass die User Admin werden. Die User sollen nur
> Zugriff auf die Logs haben.
Nein, nicht auf dem DC. Du hast eine Nutzergruppe, die soll das Recht
haben die Logs zu sehen. Damit Du das zentral steuern kannst, nimmst Du
die unten gen. Richtlinie und vergibst der obige Nutzergruppe das Recht
die zu übernehmen.
>> und hier ist das Template für die Logs:
>> http://www.gruppenrichtlinien.de/adm/eventlog.txt
>
> Danke für das Template. Das muss ich mir noch ansehen, vielleicht kann ich
> es trotzdem verwenden.
Lies dir das alles mal in Ruhe durch, teste es an einem Beispiel und der
Groschen (ähm jetzt Cent ;-)) wird fallen.
Alexander Freund
Sieht wild aus aber so werde ich es hibekommen!
Gruß,
Alex
Alexander Freund
>
> Nein, nicht auf dem DC. Du hast eine Nutzergruppe, die soll das Recht
> haben die Logs zu sehen. Damit Du das zentral steuern kannst, nimmst Du
> die unten gen. Richtlinie und vergibst der obige Nutzergruppe das Recht
> die zu übernehmen.
>
;) Fragt sich wo der Groschen fallen muss ;)
Ich wollte ja wissen wie ich jemandem Zugriff auf die Logs des DC's geben
kann.
You know?
Gruß,
Alex
Winfried Sonntag [MVP]
> Alexander Freund schrieb:
>> hat jemand eine Idee, wie auf meinen DC's (alle W2k3 SP1) die Eventlogs
>> einer bestimmten Nutzergruppe zum lesen freigeben kann?
>
> Leider nicht ganz so simpel wie Winfried schrieb, da es nicht um die
> Größensteuerung oder das Verhalten der Logs per GPO geht, sondern
> an dem Problem der Zugriffsberechtigung scheitert:
> http://www.gruppenrichtlinien.de/HowTo/Berechtigungen_auf_Ereignisprotokoll.htm
Grrr, genau den hab ich dauernd gesucht und nicht gefunden. ;-((
Alexander Freund
>> http://www.gruppenrichtlinien.de/HowTo/Berechtigungen_auf_Ereignisprotokoll.htm
>
Ja langsam ist das echt ne Referenz.
Notiz an mich: Bei AD Problemen erstmal gruppenrichtlinien.de dann googeln!!
Alexander Freund
"Alexander Freund" <Alexande...@private-vision.de> schrieb im
Newsbeitrag news:4i69meF...@individual.net...
Na oder auch nicht.
Um das auf einen DC anzuwenden muss ich aus dem .inf mal ein adm machen und
das auf die DC Anwenden oder?
Michael Bormann
Du meintest
[..]
>>
http://www.gruppenrichtlinien.de/HowTo/Berechtigungen_auf_Ereignisprotokoll.htm
>
> Grrr, genau den hab ich dauernd gesucht und nicht gefunden. ;-((
>
Mark - kanns sein das der noch nicht im Inhalt auftaucht?
Oder die Brille läßt nach ;)
--
mfg
Michael
Bitte nur in der NG antworten
www.mbormann.de
Yusuf Dikmenoglu
> Mark - kanns sein das der noch nicht im Inhalt auftaucht?
> Oder die Brille läßt nach ;)
Gukst Du unter "Objektverwaltung" - "Ereignisprotokoll: Vergabe von
Berechtigungen"
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu
http://www.faq-o-matic.net
Mark Heitbrink [MVP]
Alexander Freund schrieb:
> Um das auf einen DC anzuwenden muss ich aus dem .inf mal
> ein adm machen und das auf die DC Anwenden oder?
Nö.
Schnapp dir einen DC oder PC an dem du die GPO für die
Server letztlich editieren möchtest.
Bearbeite dessen *.inf und registriere sie erneut. Nur an diesem
speziellen Rechner zeigt der GPEditor dann auch die Logs zur
Bearbeitung an.
Konfiguriere mit deiner Sicherheitsgruppe, speichere die GPO
und verlinke sie entsprechend.
Bei anderen Rechnern, wird dann zwar in der GUI die Einstellung
nicht angezeigt, aber das macht nichts. Sie steht in der gpttempl.inf
der Richtlinie und ist weiterhin gültig/aktiv
Mark Heitbrink [MVP]
Michael Bormann schrieb:
> Nicht nur du - den finde ich auch nicht im HowTo
> Mark - kanns sein das der noch nicht im Inhalt auftaucht?
> Oder die Brille läßt nach ;)
Dasliegt an der gemeinen Speicherung auf der Seite und der
extrem hinterhältigen Aufteilung meiner Menüstruktur ;-)
Wir (Norbert und ich) haben uns lange gestritten ob es ein
HowTo ist, oder ob es zum Thema "Objektverwaltung" gehört.
Ende vom Lied:
Da es um Berechtigungen geht ist es passender unter "Objektverwaltung"
aber alle dort hinterlegten Artikel speichere ich trotztem im HowTo
ordner der Seite ...
Alexander Freund
"Mark Heitbrink [MVP]" <spam...@gruppenrichtlinien.de> schrieb im
Newsbeitrag news:uiRrvzyq...@TK2MSFTNGP03.phx.gbl...
>
> Bei anderen Rechnern, wird dann zwar in der GUI die Einstellung
> nicht angezeigt, aber das macht nichts. Sie steht in der gpttempl.inf
> der Richtlinie und ist weiterhin gültig/aktiv
>
Ok. Danke dafür.
Ich hab trotzdem ein adm gebaut, da ich für verschiedene DC's verschiedenen
Gruppen brechtigen möchte. (Bitte fragt nich warum!)
Jetzt hab ich ein paar Richtlinien erstellt, die nur die jeweiligen DC's
anwenden können.
Schön mit dem default String der auf den DC's eingetragen war, so dass man
nur die neue Berechtigung anhängen muss :)
Wunderbar!
Danke noch mal an alle Mithelfer.
Gruß,
Alex
Mark Heitbrink [MVP]
Alexander Freund schrieb:
> Ich hab trotzdem ein adm gebaut, da ich für verschiedene DC's verschiedenen
> Gruppen brechtigen möchte. (Bitte fragt nich warum!)
Doch ich muss. Du zwingst mich.
Stell dir mal vor hier liest einer mit und glaubt hinterher er könnte
mit ADM Templates BErechtigungen editieren ... das wird nichts.
Wozu hast du also das ADM gebraucht? Um die Größen, Verhalten bei "voll"
etc. zu zentralisieren?
Alexander Freund
> Doch ich muss. Du zwingst mich.
> Stell dir mal vor hier liest einer mit und glaubt hinterher er könnte
> mit ADM Templates BErechtigungen editieren ... das wird nichts.
> Wozu hast du also das ADM gebraucht? Um die Größen, Verhalten bei "voll"
> etc. zu zentralisieren?
? Mekrwürdig haben wir aneinander vorbei gredet.
Ich editiere mit dem Template schon die Rechte. Ich poste es mal. Vielleicht
bringt das klarheit.
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CLASS MACHINE ;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CATEGORY "Eventlog Berechtigungen"
POLICY "Anwendungsprotokoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\Application"
PART "Berechtigungen des Anwendungsprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)"
VALUENAME CustomSD
EXPANDABLETEXT
END PART
END POLICY
POLICY "Sicherheitsprotkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\Security"
PART "Berechtigungen des Sicherheitsprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x5;;;BA)"
VALUENAME CustomSD
EXPANDABLETEXT
END PART
END POLICY
POLICY "Systemprotkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\System"
PART "Berechtigungen des Systemprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)"
VALUENAME CustomSD
EXPANDABLETEXT
END PART
END POLICY
POLICY "Directory Service Protkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\Directory Service"
PART "Berechtigungen des Directory Service Protkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)"
VALUENAME CustomSD
EXPANDABLETEXT
END PART
END POLICY
POLICY "DNS Serverprotkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\DNS Server"
PART "Berechtigungen des DNS Serverprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)"
VALUENAME CustomSD
EXPANDABLETEXT
END PART
END POLICY
POLICY "File Replication Service Protkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\File Replication
Service"
PART "Berechtigungen des File Replication Service Protkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)"
VALUENAME CustomSD
EXPANDABLETEXT
END PART
END POLICY
END CATEGORY
Winfried Sonntag [MVP]
> Michael Bormann schrieb:
>> Nicht nur du - den finde ich auch nicht im HowTo
>> Mark - kanns sein das der noch nicht im Inhalt auftaucht?
>> Oder die Brille läßt nach ;)
Dazu müßte ich erst mal eine haben. ;-)
> Dasliegt an der gemeinen Speicherung auf der Seite und der
> extrem hinterhältigen Aufteilung meiner Menüstruktur ;-)
ACK!
> Wir (Norbert und ich) haben uns lange gestritten ob es ein
> HowTo ist, oder ob es zum Thema "Objektverwaltung" gehört.
/Wer/ hat sich durch gesetzt?
> Ende vom Lied:
> Da es um Berechtigungen geht ist es passender unter "Objektverwaltung"
> aber alle dort hinterlegten Artikel speichere ich trotztem im HowTo
> ordner der Seite ...
Hmm, um Berechtigungen geht es ja auch hier:
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm
Nein, ich will jetzt keine Diskussion vom Zaun brechen, aber ich finde
grade /keinen/ der unter "Objektverwaltung" verlinkten Artikel im
HowTo-Ordner. Liegts jetzt an mir oder möchtest Du das erst noch machen?
;-)
Yusuf Dikmenoglu
> Nein, ich will jetzt keine Diskussion vom Zaun brechen, aber ich finde
> grade /keinen/ der unter "Objektverwaltung" verlinkten Artikel im
> HowTo-Ordner. Liegts jetzt an mir oder möchtest Du das erst noch machen?
Ich denke, Mark meinte das die Artikel ALLE im Ordner How-To auf dem
WEBSERVER sich befinden ;-)
Mark Heitbrink [MVP]
Alexander Freund schrieb:
> Ich editiere mit dem Template schon die Rechte. Ich poste es mal. Vielleicht
> bringt das klarheit.
Danke. Jetzt kann ich wieder ruhig schlafen :-)
In diesem speziellem Fall klappt es, weil die Inf Datei auch nur
einen Registrywert hinzufügt.
Aber auf die Idee bin ich noch nicht gekommen, es als ADM umzubauen,
da für mich das ADM "logisch" ausscheidet.
> PART "Berechtigungen des Anwendungsprotkolls" EDITTEXT
> DEFAULT [SDDL Syntax]
> VALUENAME CustomSD
> EXPANDABLETEXT
Ich überelege gerade, klappt das als Reg_Expand oder muss es doch ein
Reg_SZ sein? Sollte egal sein, kommen ja keine Variablen drin vor.
Mark Heitbrink [MVP]
Winfried Sonntag [MVP] schrieb:
> Nein, ich will jetzt keine Diskussion vom Zaun brechen, aber ich finde
> grade /keinen/ der unter "Objektverwaltung" verlinkten Artikel im
> HowTo-Ordner. Liegts jetzt an mir oder möchtest Du das erst noch machen?
Doch, wenn du die File/Ordnerstruktur vor dir sehen würdest und die
Ziel URLs vergeleichst ...
Die Links der Objektverwaltung beginnen alle mit
http://www.gruppenrichtlinien.de/HowTo/
Achso, ich habe gewonnen. ;-)
Kann aber auch an der einfachen Stimmmehrheit eines Webmasters gegenüber
seines Autors liegen *höhö*
Alexander Freund
>
> Danke. Jetzt kann ich wieder ruhig schlafen :-)
> In diesem speziellem Fall klappt es, weil die Inf Datei auch nur
> einen Registrywert hinzufügt.
> Aber auf die Idee bin ich noch nicht gekommen, es als ADM umzubauen,
> da für mich das ADM "logisch" ausscheidet.
Hm wieso logisch? Ich kann doch auch Filesystemberechtigungen und
Registryberechtigungen setzen. Oder wie meinst Du das jetzt?
>
>> PART "Berechtigungen des Anwendungsprotkolls" EDITTEXT
>> DEFAULT [SDDL Syntax]
>> VALUENAME CustomSD
>> EXPANDABLETEXT
>
> Ich überelege gerade, klappt das als Reg_Expand oder muss es doch ein
> Reg_SZ sein? Sollte egal sein, kommen ja keine Variablen drin vor.
>
Tja sollte eigentlich gehen.
Aber klappt im Moment bei mir nicht. Die Frage ist ob es am Wertetyp liegt
oder woanders dran.
Im Moment sieht es so aus, als würde die Einstellung einfach ignoriert :(
Jetzt ist es aber auch für mich zu heiß! Ich gehe Morgen noch mal dran.
Für weitere Tips und Hilfen währe ich dankbar!
Schönen Gruß,
Alexander Freund
Winfried Sonntag [MVP]
> ok, du willst es genau wissen ... ;-)
Immer. ;-)
> Winfried Sonntag [MVP] schrieb:
>> Nein, ich will jetzt keine Diskussion vom Zaun brechen, aber ich finde
>> grade /keinen/ der unter "Objektverwaltung" verlinkten Artikel im
>> HowTo-Ordner. Liegts jetzt an mir oder möchtest Du das erst noch machen?
>
> Doch, wenn du die File/Ordnerstruktur vor dir sehen würdest und die
> Ziel URLs vergeleichst ...
> Die Links der Objektverwaltung beginnen alle mit
> http://www.gruppenrichtlinien.de/HowTo/
Ja, jetzt seh' ich das auch. Da muß man auch erst mal drauf' kommen. ;-)
> Achso, ich habe gewonnen. ;-)
> Kann aber auch an der einfachen Stimmmehrheit eines Webmasters gegenüber
> seines Autors liegen *höhö*
Hab ich auch nicht anders erwartet. Der arme Norbert. ;-)
Mark Heitbrink [MVP]
Alexander Freund schrieb:
> Hm wieso logisch? Ich kann doch auch Filesystemberechtigungen und
> Registryberechtigungen setzen. Oder wie meinst Du das jetzt?
Ja, aber idR nicht mit einem ADM Template, da diese ja nur
Registry Werte manipuliert, die BErechtigungen aber normalerweise
nicht in der Reg als Wert stehen.
> Aber klappt im Moment bei mir nicht. Die Frage ist ob es am Wertetyp liegt
> oder woanders dran. Im Moment sieht es so aus, als würde die Einstellung
> einfach ignoriert :(
Vielleicht liegt es ja doch am ADM ... ;-)
Ich probiers mal aus.
Michael Bormann
Du meintest
> Moin,
>
> Michael Bormann schrieb:
>> Nicht nur du - den finde ich auch nicht im HowTo
>> Mark - kanns sein das der noch nicht im Inhalt auftaucht?
>> Oder die Brille läßt nach ;)
>
> Dasliegt an der gemeinen Speicherung auf der Seite und der
> extrem hinterhältigen Aufteilung meiner Menüstruktur ;-)
Alles klar.
Ich dachte schon mein Optiker hat gepatzt :D
[snip]
Hat Norbert aber dennoch nicht verdient so versteckt zu werden ;)
grinsegruss
Michael
Norbert Fehlauer [MVP]
Hi,
> ;) Fragt sich wo der Groschen fallen muss ;)
Bei dir wo sonst?
> Ich wollte ja wissen wie ich jemandem Zugriff auf die Logs des DC's
> geben kann.
Und genau das steht in dem Artikel.
http://www.gruppenrichtlinien.de/HowTo/Berechtigungen_auf_Ereignisprotokoll.htm
> You know?
Yes and you?
Bye
Norbert
--
Dilbert's words of wisdom #34: When you don't know what to do, walk
fast and look worried.
Norbert Fehlauer [MVP]
Hi,
> Grrr, genau den hab ich dauernd gesucht und nicht gefunden. ;-((
Und ich hab mir sone Mühe gemacht. ;)
Bye
Norbert
--
Dilbert's words of wisdom #19: Am I getting smart with you? How would
you know?
Norbert Fehlauer [MVP]
Hi,
> Wir (Norbert und ich) haben uns lange gestritten
Wir streiten doch nicht. Das ist konstruktive Kritik. IMMER. ;)
Bye
Norbert
--
Dilbert's words of wisdom #18: Never argue with an idiot. They drag you
down to their level then beat you with experience.
Winfried Sonntag [MVP]
Tach,
>> Grrr, genau den hab ich dauernd gesucht und nicht gefunden. ;-((
>
> Und ich hab mir sone Mühe gemacht. ;)
ihn zu verstecken? ;-)
Servus
Winfried
--
Win2000-FAQ: http://w2k-faq.ebend.de
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Norbert Fehlauer [MVP]
Nabend,
>>> Grrr, genau den hab ich dauernd gesucht und nicht gefunden. ;-((
>>
>> Und ich hab mir sone Mühe gemacht. ;)
>
> ihn zu verstecken? ;-)
Ne, das war Mark. :D
Bye
Norbert
--
Dilbert's words of wisdom #10: I don't have an attitude problem. You
have a perception problem.
Alexander Freund
"Norbert Fehlauer [MVP]" <n.feh...@gmx.net> schrieb im Newsbeitrag
news:ud$got2qG...@TK2MSFTNGP04.phx.gbl...
> Alexander Freund wrote:
> Hi,
>
>> ;) Fragt sich wo der Groschen fallen muss ;)
>
> Bei dir wo sonst?
>
>> Ich wollte ja wissen wie ich jemandem Zugriff auf die Logs des DC's
>> geben kann.
>
> Und genau das steht in dem Artikel.
> http://www.gruppenrichtlinien.de/HowTo/Berechtigungen_auf_Ereignisprotokoll.htm
Lies noch mal ein paar Posts vorher. Ich hab mich gefragt was ich mit dem
Link für die eingeschränkten Gruppen soll.
Den Link hier fand ich ja ganz gut.
Alexander Freund
"Mark Heitbrink [MVP]" <spam...@gruppenrichtlinien.de> schrieb im
Newsbeitrag news:u8FgkA0q...@TK2MSFTNGP04.phx.gbl...
>
> Vielleicht liegt es ja doch am ADM ... ;-)
> Ich probiers mal aus.
Möglich, währe aber unschön :(
Ich muß es auch weiter probieren!
Danke für die Unterstützung!
Schönen Gruß,
Alexander Freund
Alexander Freund
Schliesslich greife ich ja mit einem Nutzer über den Eventviewer auf den DC
zu.
Möglich, dass der Nutzer bzw. die Gruppe des Nutzers auf dem DC noch ein
spezielles Rechtbenötigt für den Zugriff vom Netz aus?
Norbert Fehlauer [MVP]
> Du bist witzig!
Ich weiß. ;)
> Lies noch mal ein paar Posts vorher. Ich hab mich gefragt was ich mit
> dem Link für die eingeschränkten Gruppen soll.
Jo hab den Link von Walter verwechselt. Also nix für ungut. Hab den Rest vom
Thread ja auch noch gelesen.
> Den Link hier fand ich ja ganz gut.
Danke.
Bye
Norbert
--
Dilbert's words of wisdom #32: If it wasn't for the last minute,
nothing would get done.
Norbert Fehlauer [MVP]
Hi Alexander,
> Ich hab trotzdem ein adm gebaut, da ich für verschiedene DC's
> verschiedenen Gruppen brechtigen möchte. (Bitte fragt nich warum!)
Doch, denn diese Diskussion kenn ich zur Genüge. Mach den Fordernden einfach
klar, dass man dann dafür keine DCs für andere Aufgaben benutzt. Eventuell
ist ja die Virtualisierung der DCs eine Möglichkeit für dich.
Bye
Norbert
--
Dilbert's words of wisdom #04: There are very few personal problems
that cannot be solved by a suitable application of high explosives.
Alexander Freund
> Alexander Freund wrote:
> Hi Alexander,
>
>> Ich hab trotzdem ein adm gebaut, da ich für verschiedene DC's
>> verschiedenen Gruppen brechtigen möchte. (Bitte fragt nich warum!)
>
> Doch, denn diese Diskussion kenn ich zur Genüge. Mach den Fordernden
> einfach klar, dass man dann dafür keine DCs für andere Aufgaben benutzt.
> Eventuell ist ja die Virtualisierung der DCs eine Möglichkeit für dich.
Tja das ist so eine Sache.
Sagen wir es mal so. Ich versuche lieber den Verantwortlichen Zugriff auf
das eventlog zu geben und halte mir damit die Gruppe der Dom Admins klein.
Der Kunde hat ja selbst schon eingesehen, dass es nicht gut ist zu viele
Mitglieder in dieser Gruppe zu haben. Als Auftraggeber hätte er ja auch alle
Rechter in der Domadmin Gruppe zu sein auch um "nur" das event Protokoll des
Servers zu lesen. Also baue ich lieber für ihn diesen Zugriff als ihm zu
erklären warum er nicht in die Logs seiner eigenen DC's schauen sollte.
Norbert Fehlauer [MVP]
Hi Alexander,
> Sagen wir es mal so. Ich versuche lieber den Verantwortlichen Zugriff
> auf das eventlog zu geben und halte mir damit die Gruppe der Dom
> Admins klein. Der Kunde hat ja selbst schon eingesehen, dass es nicht
> gut ist zu viele Mitglieder in dieser Gruppe zu haben.
Dann ist ja ein wichtiger Schritt schonmal geschafft.
> Als
> Auftraggeber hätte er ja auch alle Rechter in der Domadmin Gruppe zu
> sein auch um "nur" das event Protokoll des Servers zu lesen.
Nö. Der Auftraggeber sollte schon eine eigene Sicherheitsrichtlinie haben,
die mehr aussagt als "Ich bin Auftraggeber und deswegen Dom-Admin". ;)
> Also baue ich lieber für ihn diesen Zugriff als ihm zu erklären warum er
> nicht in die Logs seiner eigenen DC's schauen sollte.
Das ist mir ja klar, und auch mit Hilfe des Artikels ohne Probleme machbar.
Da du jedoch geschrieben hattest, dass du verschiedene Gruppen auf
verschiedene DCs berechtigen willst, vermute ich, dass wir entweder über
mehrere DCs an einem Standort sprechen von denen jeder jedoch zusätzliche
Aufgaben erfüllt (Exchange, SQL usw.), oder über mehrere DCs an mehreren
Standorten, von denen jeder von je einem Standort-Admin administriert wird.
In beiden Fällen ist es keine Gute Idee. ;) Manche Aufgaben kann man leider
nur mit extremen Aufwand, oder auch gar nicht lösen wenn die Server DCs
sind.
Bye
Norbert
Mark Heitbrink [MVP]
Alexander Freund schrieb:
>> Vielleicht liegt es ja doch am ADM ... ;-)
>> Ich probiers mal aus.
Irgendwo steckt der Fehler in deinem Template. Erst nachdem ich die
Default Werte noch mal per CopyPaste aus dem Artikel ersetzt habe
standen auch "ordentliche" Werte in der Registry.
Wenn man sich das registry.pol File mit dem PolViewer von GPOGuy
angeschaut hat, dann waren die SZ Einträge nicht vollständig.
Sehr seltsam, ich habe keinen Fehler geshen, komische Sache.
Vielleicht ist beim Copy+Paste auch ein Sonderzeichen reingerutscht.
Das Expand_SZ habe ich mal rausgenommen.
Zudem hätte die Richtlinie auch "Müll" reinschreiben müssen, da es
ja nur ein String ist und wenn der falsch ist, dann hat man sich
vielleicht den Zugriff gesperrt, aber er steht dann nun mal drin.
Ich habe dir meine angepasste ADM noch mal drangehangen
---- eventlogperm.adm ----
; SID meiner SIcherheitsgruppe GPOAdmins:
S-1-5-21-732527826-2729954031-2230940897-1120
; Die Default Vorgabe entspricht der MS Standardberechtigungen und ist
; schon erweitert um die eigene Sicherheitsgruppe, diese bekommt das
; Recht "lesen" (A;;0x1;;;)
; SDDL Syntax: (A;;0x1;;;S-1-5-21-732527826-2729954031-2230940897-1120)
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CLASS MACHINE ;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CATEGORY "Eventlog Berechtigungen"
POLICY "Anwendungsprotokoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\Application"
PART "Berechtigungen des Anwendungsprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x1;;;S-1-5-21-732527826-2729954031-2230940897-1120)"
VALUENAME CustomSD
END PART
END POLICY
POLICY "Sicherheitsprotkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\Security"
PART "Berechtigungen des Sicherheitsprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-21-732527826-2729954031-2230940897-1120)"
VALUENAME CustomSD
END PART
END POLICY
POLICY "Systemprotkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\System"
PART "Berechtigungen des Systemprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)(A;;0x1;;;S-1-5-21-732527826-2729954031-2230940897-1120)"
VALUENAME CustomSD
END PART
END POLICY
POLICY "Directory Service Protkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\Directory Service"
PART "Berechtigungen des Directory Service Protkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x1;;;S-1-5-21-732527826-2729954031-2230940897-1120)"
VALUENAME CustomSD
END PART
END POLICY
POLICY "DNS Serverprotkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\DNS Server"
PART "Berechtigungen des DNS Serverprotkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x1;;;S-1-5-21-732527826-2729954031-2230940897-1120)"
VALUENAME CustomSD
END PART
END POLICY
POLICY "File Replication Service Protkoll"
KEYNAME "System\CurrentControlSet\Services\Eventlog\File Replication
Service"
PART "Berechtigungen des File Replication Service Protkolls" EDITTEXT
DEFAULT
"O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x1;;;S-1-5-21-732527826-2729954031-2230940897-1120)"
VALUENAME CustomSD
END PART
END POLICY
END CATEGORY
---- eventlogperm.adm ----
Alexander Freund
> Das ist mir ja klar, und auch mit Hilfe des Artikels ohne Probleme
> machbar. Da du jedoch geschrieben hattest, dass du verschiedene Gruppen
> auf verschiedene DCs berechtigen willst, vermute ich, dass wir entweder
> über mehrere DCs an einem Standort sprechen von denen jeder jedoch
> zusätzliche Aufgaben erfüllt (Exchange, SQL usw.), oder über mehrere DCs
> an mehreren Standorten, von denen jeder von je einem Standort-Admin
> administriert wird. In beiden Fällen ist es keine Gute Idee. ;) Manche
> Aufgaben kann man leider nur mit extremen Aufwand, oder auch gar nicht
> lösen wenn die Server DCs sind.
Tja ohne das jetzt in die Länge zu walzen. Die Organisation ist schon sehr
gross.
Die einzelnen Sites waren früher alle eigenständig und werden nun in einer
Domäne zusammen gefasst.
Es geht da auch um Geld. z.B. bei einem Problem an einem Standort, der nicht
das ganze AD betrifft ist dann der Standort selbst für den support zuständig
und greift ggf. auch auf MS zurück. Der MS Support mag dann meist gerne Logs
lesen, was aber dann die Standortadmins nicht zu Verfügung stellen können.
Jeder Standort beschäftigt dann auch noch unterschiedliche Firmen für das
Betreiben ihrer IT Infrastruktur usw. Damit dann die zentrale
Domänenadministration nicht in Arbeit ertrinkt, sollen so "unwichtige" Dinge
etwas verteilt werden. Da ein Standort schon mal über 2000 Leute hat, bin
ich da sehr stolz drauf, dass da keiner Dom Admin ist ;)
Alexander Freund
>
> Zudem hätte die Richtlinie auch "Müll" reinschreiben müssen, da es
> ja nur ein String ist und wenn der falsch ist, dann hat man sich
> vielleicht den Zugriff gesperrt, aber er steht dann nun mal drin.
>
> Ich habe dir meine angepasste ADM noch mal drangehangen
>
Prima! Vielen Dank für Deine Mühe!
Um jetzt wieder Formatierungsfehler zu umgehen, das der String für den
Defaultwert in einer neuen Zeile steht, ist absicht? Und macht keine
Probleme?
Mark Heitbrink [MVP]
Alexander Freund schrieb:
> Um jetzt wieder Formatierungsfehler zu umgehen, das der String für den
> Defaultwert in einer neuen Zeile steht, ist absicht? Und macht keine
> Probleme?
Yepp. Eine Zeile
DEFAULT "O:BAG:SYD: ..."
Alexander Freund
Das ist mal nicht zum nachmachen empfohlen!
Ich habe erst noch ein seltsames Zeichen aus dem Dateireplikationsdienst
geangelt, welches mir gleich mal einen neues Log erzeugt hatte.
Scheinbar war da so ne Art Zeilenumbruch im Key. Dann waren noch von der
alten Richtlinie, wo Mark messerscharf den SDDL Syntax als Fehler erkannt
hat, Werte in der Registry gespeichert. Die konnte man erkennen wenn man die
Richtlinie bearbeitet und der Wert mal ins notepad kopiert.
Siehe da, die hälfte fehlte!
Jetzt sind überall die richtigen Strings drin und es läuft!
Danke noch mal an alle die mitgeholfen haben ;)
Schönen Gruß,
Alexander Freund
Mark Heitbrink [MVP]
Alexander Freund schrieb:
> Das ist mal nicht zum nachmachen empfohlen!
Stimmt. ADM ist für diesen Fall *pfui* ;-)
> Danke noch mal an alle die mitgeholfen haben ;)
Gern geschehen. Du solltest aber dochnoch mal über die Lösung
mit dem INF nachdenken, denn der riesen Vorteil:
- Bei Deaktivierung, Nichkonfiguration stellt sich die BErechtigung
automatisch auf "Default" zurück.
Mit dem ADM Template und der Tattoenden Einstellung musst du erst
wieder die Defaultwerte verteilen, bevor du die Richtlinie
entfernen kannst.
Nur noch mal als Nachtrag.
Alexander Freund
>
> Gern geschehen. Du solltest aber dochnoch mal über die Lösung
> mit dem INF nachdenken, denn der riesen Vorteil:
> - Bei Deaktivierung, Nichkonfiguration stellt sich die BErechtigung
> automatisch auf "Default" zurück.
>
haben. Gut jeweils zwei sind immer an einem Standort und sind demnach gleich
konfiguriert.
Also ich persönlich ziehe es da vor, die Einstellungen mit der GPMC sehen zu
können und mit dem Richtlinieneditor zu bearbeiten als auf allen DC's
irgendwelche Dateien zu pflegen und bei Änderungen die auch noch überall
wieder manuell einlesen zu müssen ;)
Norbert Fehlauer [MVP]
Hi,
> Stell Dir vor, Du hast 600 DC's
Und merkst, dass du was falsch gemacht hast? ;)
> und möchtest auf allen andere
> Berechtigungen haben.
Dann habe ich ein Planungsproblem gehabt. :p
Bye
Norbert
Alexander Freund
;) Sei Dir sicher, dass die MS Jungs bei uns auf dem Schoß sitzen und es für
das Konzept ein technical review von denen gibt.
Auch wenn ich persönlich mit Dir einer Meinung bin das man das auch hätte
anders gestalten können (bzw. sollte)
Norbert Fehlauer [MVP]
Hi,
> ;) Sei Dir sicher, dass die MS Jungs bei uns auf dem Schoß sitzen und
> es für das Konzept ein technical review von denen gibt.
Jupp kenn ich sowas. :)
> Auch wenn ich persönlich mit Dir einer Meinung bin das man das auch
> hätte anders gestalten können (bzw. sollte)
Eben. Man hat ein Konzept mit "offizieller" Abnahme, und trotzdem hat man
selbst das Gefühl, dass das hätte anders sein sollen. Technisch ist ja
weiterhin alles ok, nur ... ;)
Bye
Norbert
Alexander Freund
>
> Eben. Man hat ein Konzept mit "offizieller" Abnahme, und trotzdem hat man
> selbst das Gefühl, dass das hätte anders sein sollen. Technisch ist ja
> weiterhin alles ok, nur ... ;)
;) Genau so ist es :)
Manchmal denke ich die Sagen zu vielem ja, weil es im Produktblättchen
steht, dass das geht und wollen die Autoren nicht vor den Kopf stoßen, dass
es anders besser währe ;)
Aber das ist nur so ein Gedanke. Bißlang sind wir mit deren Einschätzung
immer gut gefahren ;)
Ich meine, wer soll's denn wissen wenn nicht der Hersteller :)