Недоступен журнал событий Windows под администратором #402854

Терминал на обычном сервере 2003, без АД зашел под юзером Адм, который включен в группу Администраторы. А просмотреть журнал событий не могу - Access denued. Кто и где наступил мне на eggs?

да, кстати, а какой нибудь сторонний утиль для просмотра журналов есть? Со всякими отборами

если бы с АД я бы сказал, что возможно у тебя не хватает прав

А служба регистрации событий запущена ? В журналах там всё пишется в сжатом виде со ссылками на dll с описанием кодов, поэтому писать программу просмотра не так уж и просто.

в пакете sysinternals была тулза, но вроде консольная

Если это семерка, то табличное поле с соответствующим источником данных. Глянь на www.1cpp.ru

+ Тьфу, блин. Тормоз я. Не читаем , не было его. Ступил.

шутка локальных политик безопасности ?

А в локальной политике безопасности все по умолчанию?

попробуй тоже самое, но через mstsc /console

какую локальную трогать?

щас глянем

Петя признался, что он птиц... Надо записать...

Так, если комп не контроллер домена, то там только одна локальная политика, политики контроллера нет

пофиг. Не помогло...

А можно весь список, куда включен "Адм"?

да, кстати, в Секьюрити на просмотр пускает.

не я заводил - АДМ включен практически во все группы

А можно листинг. Побуквенно. На всякий случай.

+18 И еще проверить NTFS-права на папку %windir%system32config

+19 Там на диске физически хранятся логи

а это тут причем ?

скопируй C:WINDOWSsystem32configAppEvent.Evt в другое место и удали в исходном, затем secpol.msc импорт шаблона setup security.inf

В написал

и только ? Петр есть еще eventquery.vbs

и чо ?

Нужно иметь право доступа на открытие файлов, верно?

Петр оснастку Анализ и настройка безопасности запусти и шаблон server.inf импортируй и сделай анализ и настройку

НТФС - нет, диск -фат32

и чо ?

не торопимся.... промахнусь - мне в Барнаул не светит катиться...

на ветки реестра к примеру не зависит от ФС, на вьювер не совсем ... если фат32 - жди гостей скорее всего

Зациклило? Сдаюсь

ибо в лажо.

А скриншот с ошибкой дать можешь Да, ибо не знал, что ФАТ

да даже если нтфс

Каковы соображения? Эти файлы (*.evt) открываются на чтение под аккаунтом того, кто хочет посмотреть лог, верно?

а файл software под каким акккаунтом открываются ? правильно - не под каким. у меня нету и не может быть соображений, просто знаю и все.

+36 А можно вообще попробовать открыть в notepad эти файлы. Даст открыть? Тот файл часть реестра, его открывает винда под SYSTEM

дятловоду: ЗЫ всё сьедено до нас.

О, инфа по теме. Итак, опять же, в каких группах участвует Адм. Просил в

ничего не дает - удалить нельзя, файл занят... server.inf - нет такого security.inf - нет такого

Почитай ссылки в -- если Адм включен в гостей, винда его ограничивает в правах

список групп Administrators     Backup Operators     Distributed COM Users     Guests     Network Configuration Operators     Performance Log Users     Performance Monitor Users     Power Users     Print Operators     Remote Desktop Users     Replicator     Users     Debugger HelpServicesGroup     TelnetClients

из гостей я его выбросил уже....

Guests!!!! Убери оттуда!!!

пошел читать

+45 На всякий случай вообще из всех групп, кроме Administrators

не помогло

# Конфигурация Windows, Правила безопасности, Локальные политики, а затем выберите пункт Параметры безопасности. # Дважды щелкните значок Журнал событий: Журнал приложений SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK. # Дважды щелкните значок Журнал событий: Системный журнал SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK. а для английского серванта какие пути??

А просто открывать *.evt в блокноте пробовал?

фаром открываются....

Значит доступ к файлам таки есть. Можно еще попробовать перезагрузить машину. Уж не знаю, может попустит. Скриншот запостить можешь?

скриншот чего?

ты с sysinternals прогу попробовал? psloglist называется, тоже не читает?

Экрана, когда ошибка выскакивает. А кстати, тоже дельный совет дал

MSDN - лучший переводчик, реестрик того, откатить не забудь

Можно попробовать, но это крайняя мера, я бы сказал

вот скиншот

Таки сервис eventlogger или как его там - запущен ? Потому как смотрятся логи через него, если service "сдох", то, конечно, получаем сообщение "Нет доступа", только доступа-то нет к трупу, а не в правах пользователя ?

К другим логам тоже нет доступа? Если так, то дело говорит. Если служба работает, сдаюсь

журнал security - открывается....

Сдаюсь

ладно, поздно уже... завтра ....

Если один журнал открывается, а другой - нет, то можно предположить, что просто "испортили" файл журнала, и его прочитать невозможно (ну или файл превысил какой-то предел - для FAT-а 4Гб, например - но это как-то нереально).

По умолчанию вроде 64К, нереально. Может стоит прочекать диск на ошибки?

решил.... локальная политика - User Rights ... Manage auditing and security log." Стояла группа - Администраторы. Я был включен в эту группу, но тем не менее доступа не имел. После добавления себя в эту политику - все заработало. т.е. несмотря на вхождение в группу Администраторы меня обламывали...

значит ты входил в группу, которой запрещенно, либо группа Администраторы входит в такую группу. Обычно это Гости....

все дело в том, что я убрал вхождение во все группы, оставив только админов и удаленный раб стол. все равно не пускали....

в этом плане построение защиты в виндах - уродство по сравнению с новелем. Там все логичнее....

ап для участвовавших

пользуясь случаем: на 2003ent под одмином не глядит события. "неизвестный интерфейс". Так же не запускается таск шедулер, выдает ошибку 1717 "неизвестный интерфейс".

после этого надо было еще gpupdate