如何在本機或使用 群組原則

您可以在 Windows Server 2012 中自訂其事件記錄的安全性存取權限。 這些設定可以在本機或透過 群組原則 來設定。 本文說明如何使用這兩種方法。

適用於：Windows Server 2012 Standard、Windows Server 2012 Datacenter
原始 KB 編號： 323076

摘要

您可以將下列一或多個存取權限授與使用者事件記錄：

• 讀取
• 寫入
• Clear

您可以基於此目的使用系統管理範本原則。 例如，系統事件記錄檔的路徑為：

計算機設定\系統管理範本\Windows 元件\事件記錄服務\系統

此設定會 設定記錄 檔存取，並採用相同的安全描述符定義語言 (SDDL) 字串。

一旦您使用 Windows Server 2012，Microsoft 建議您移至這個方法。

在本機設定事件記錄安全性

每個記錄的安全性都是透過登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog中的值在本機設定。

例如，應用程式記錄安全描述符是透過下列登錄值來設定： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

系統記錄安全描述符是透過 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD設定。

每個記錄的安全描述符都是使用 SDDL 語法來指定。 For more information about SDDL syntax, see the Platform SDK, or see the article mentioned in the References section of this article.

若要建構 SDDL 字串，請注意事件記錄有三個不同的許可權：讀取、寫入和清除。 這些權限會對應至 ACE 字串之存取權限欄位中的下列位：

• 1= 讀取
• 2 = 寫入
• 4 = 清除

以下是範例 SDDL，其中顯示應用程式記錄檔的預設 SDDL 字串。 十六進位) 中的訪問許可權 (為粗體，以供說明：

O：BAG：SYD： (D;;0xf0007;;;AN) (D;;0xf0007;;;BG) (A;;0xf0007;;;SY) (A;;0x5 ;;;BA) (A;;0x7 ;;;SO) (A;;0x3 ;;;IU) (A;;0x2 ;;;BA) (A;;0x2 ;;;LS) (A;;0x2 ;;;NS)

例如，第一個 ACE 會拒絕匿名使用者讀取、寫入和清除記錄的存取權。 第六個 ACE 允許互動式使用者讀取和寫入記錄檔。

修改本機原則以允許自定義事件記錄檔的安全性

1. 將 %WinDir%\Inf\Sceregvl.inf 檔案備份至已知位置。

2. 在記事本中開啟 %WinDir%\Inf\Sceregvl.inf。

3. 捲動至檔案中間，然後將指標放在 [Strings] 前面。

4. 插入下列幾行：

   MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD，1，%AppLogSD%，2
   MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD，1，%SysLogSD%，2

5. 捲動至檔尾，然後插入下列幾行：

   AppLogSD=“事件記錄檔：在安全描述符定義語言中指定應用程式記錄的安全性 (SDDL) 語法」
   SysLogSD=“事件記錄檔：在安全描述符定義語言 (SDDL) 語法中指定系統記錄的安全性」

6. 儲存並關閉檔案。

7. 選取 [開始]，選取 [執行]，在 [開啟] 方塊中輸入 regsvr32 scecli.dll，然後按 ENTER 鍵。

8. 在 [成功 scecli.dll 的 [DllRegisterServer ] 對話框中，選取 [ 確定]。

使用電腦的本機組策略來設定應用程式和系統記錄安全性

1. 選 取 [開始]，選取 [ 執行]，輸入 gpedit.msc，然後選取 [ 確定]。
2. 在 群組原則 編輯器中，依序展開 [Windows 設定]、[安全性設定]、[本機原則] 及 [安全性選項]。
3. 按兩下 [事件記錄檔：應用程式記錄檔 SDDL]，輸入您要用於記錄安全性的 SDDL 字串，然後選取 [ 確定]。
4. 按兩下 [事件記錄檔：系統記錄 SDDL]，輸入您要用於記錄安全性的 SDDL 字串，然後選取 [ 確定]。

使用組策略來設定 Active Directory 中網域、網站或組織單位的應用程式和系統記錄安全性

1. 使用 [記事本] 之類的文本編輯器，在 %Windir%\Inf 資料夾中開啟 Sceregvl.inf。

2. 將下列幾行新增至 [註冊登錄值] 區段：

   MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD，1，%AppCustomSD%，2
   MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD，1，%SecCustomSD%，2
   MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD，1，%SysCustomSD%，2
   MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD，1，%DSCustomSD%，2
   MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD，1，%DNSCustomSD%，2
   MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD，1，%FRSCustomSD%，2

3. 將下列幾行新增至 [Strings] 區段：

   AppCustomSD=“Eventlog： Application 事件記錄檔的安全描述符”
   SecCustomSD=“Eventlog： Security 事件記錄檔的安全描述符”
   SysCustomSD=“Eventlog： 系統事件記錄檔的安全描述符”
   DSCustomSD=“Eventlog： Directory 服務事件記錄檔的安全描述符”
   DNSCustomSD=“Eventlog： DNS 伺服器事件記錄檔的安全描述符”
   FRSCustomSD=“Eventlog： 檔案復寫服務事件記錄檔的安全描述符”

4. 儲存您對 Sceregvl.inf 檔案所做的變更，然後執行 regsvr32 scecli.dll 命令。

5. 啟動 Gpedit.msc，然後按兩下列分支加以展開：

   電腦設定
   Windows 設定
   安全性設定
   本機原則
   安全性選項

6. 檢視正確的面板以尋找新的 Eventlog 設定。

使用組策略來設定應用程式和系統記錄安全性

1. 在 Active Directory 網站和服務嵌入式管理單元或 Active Directory 使用者和電腦 嵌入式管理單元中，以滑鼠右鍵按下您要設定原則的物件，然後選取 [屬性]。

2. 選取 [群組原則] 索引標籤。

3. 如果您必須建立新的原則，請選取 [ 新增]，然後定義原則的名稱。 否則，請跳至步驟 5。

4. 選取您想要的原則，然後選取 [ 編輯]。

   [本機 群組原則 MMC 嵌入式管理單元隨即出現。

5. 依序展開 [計算機設定]、 [Windows 設定]、[ 安全性設定]、[ 本機原則]，然後選取 [ 安全性選項]。

6. 按兩下 [事件記錄檔：應用程式記錄檔 SDDL]，輸入您要用於記錄安全性的 SDDL 字串，然後選取 [ 確定]。

7. 按兩下 [事件記錄檔：系統記錄 SDDL]，輸入您要用於記錄安全性的 SDDL 字串，然後選取 [ 確定]。

參考資料

如需 SDDL 語法以及如何建構 SDDL 字串串的詳細資訊，請參閱 安全描述符字串格式。