Journal des autorisations d'écriture
Ma question est relative aux autorisations d'écriture dans le Journal des Événements Windows.
J'ai regardé autour de plusieurs postes concernant cela, et ont trouvé des façons de résoudre mon problème, mais aucune de ces sont acceptables pour mon scénario actuel.
J'utilise C# dans .NET 4.0. J'utilise la classe de Journal des événements:
Classe de journal des événements
En bref, j'ai besoin de voir si il existe un moyen d'usurper l'identité ou de s'authentifier avec un utilisateur authentifié et mot de passe pour atteindre la droite, j'ai besoin d'écrire dans le Journal des Événements. Le serveur sera toujours dans le Serveur Windows de la famille, mais la version peut varier.
Ma demande est un Service Windows en cours d'exécution avec l'un des comptes suivants:
- Service Réseau
- Service Local
- Système Local
- Utilisateur avec des droits restreints (Utilisateurs ou
Domaine des groupes d'Utilisateurs)
Voici quelques autres critères que j'ai:
- Je ne peut pas mettre le service à l'utilisateur en tant qu'Administrateur, pas même administrateur local sur le serveur
- Je ne peux pas éditer ou de modifier le registre
- Je ne peut pas modifier l'UAC ou des stratégies de groupe sur le serveur
- J'ai un utilisateur avec des droits d'Administrateur, mais il ne peut pas être utilisé pour exécuter le service
- Le Journal des Événements seront toujours les locaux du Journal des Événements, et non pas sur une machine distante
- Le Journal sera probablement toujours être la "Demande" journal
- La Source peut varier, et qui semble être le cœur du problème
Ma question est : Est-ce possible?
Puis-je emprunter l'identité d'un utilisateur dans mon code pour obtenir ce dont j'ai besoin?
Je n'ai que lors de la connexion à des services web, la connexion à des serveurs smtp et de courseclogging dans les bases de données etc.
Je suis tombé dans cette classe:
EventLogPermission Classe
Mais je n'arrive pas à obtenir une bonne notion sur comment utiliser la classe.
J'espère que j'ai exprimé mon problème bonne. Je n'ai pas concider ce un doublon d'un autre poste en raison de mes critères.
- Pourquoi le vote? C'est entièrement une question valable. De nombreuses fonctionnalités qui nécessitent une ou des droits d'administrateur peut usurper l'identité à partir du code de sorte que le service lui-même peut fonctionner comme un faible niveau de privilège de l'utilisateur.
- Double Possible de Comment créer de Journal des événements de Windows source en ligne de commande?
- Bien qu'il ne veut pas répondre à toutes vos exigences, cette question et ses réponses sont plus utiles en général, de l'OMI.
Vous devez vous connecter pour publier un commentaire.
Par défaut, tout utilisateur authentifié est capable d'écrire de journal des événements d'application. Toutefois, seuls les administrateurs peuvent créer de nouvelles Sources d'événements. Si toutes les Sources sont connues au service de l'installation, je vous recommande de vous inscrire à ces sources à l'avance, alors vous serez tous mis en place. L'enregistrement est un simple appel à Le journal des événements.CreateEventSource.
Si vous avez besoin de plus de flexibilité sur les sources d'événements, vous pouvez personnaliser les autorisations. Ces valeurs par défaut peuvent être personnalisés en modifiant une clé de registre:
Un processus décrit dans ce L'Article. Un
wevtutil
outil, qui fait partie du système d'exploitation, disponible sur le Serveur 2008 et au-dessus, rend un peu plus facile que de passer par regedit.La réponse a montré à être "non".
Je me rends compte il n'ya pas de bonne façon de résoudre ce la façon dont je l'ai demandé. Il doit y avoir un travail manuel faire.
Donc la solution que j'ai pour ce scénario est que les clients qui ne peuvent pas exécuter le service en tant qu'administrateur ou en faire un manuel de modification de registre ne peut pas utiliser les fonctions autour de la journalisation dans le journal des événements. Et je vais le faire pour activer et désactiver la journalisation de la configuration.
Utilisateur Admin et modification du registre sont connus façons pour moi, mais quelque chose que j'essayais d'éviter. Mais c'est, comme il semble, pas possible selon mes critères de ce temps.