ドメインコントローラ上のすべてのイベントログへの読み取り専用アクセスを許可することは可能ですか
すべてのドメインコントローラー、理想的にはGPOを使用するドメインレベルで、イベントログへの読み取りアクセスを許可したいと思います。グループのメンバーが、アプリケーションログ、システムログ、および「ディレクトリサービス」や「ファイルレプリケーションサービス」などの「アプリケーションとサービスのログ」にあるいくつかのログを表示できるようにしたいと考えています。これに取り組むための最良の戦略は何でしょうか?
ほとんどのドメインコントローラーは2008 R2です。
この目的のためだけに組み込みのグループがあります。イベントログリーダー。ログへの読み取りアクセスを許可するグループにユーザーを追加します。あなたは間違いなくGPOを介してこれを行うことができます。 DCにのみ適用する場合は、既定のドメインコントローラーポリシーを変更(または同じレベルで作成)できます。 DCのイベントログを読み取ることができるようにするユーザーでイベントログリーダーグループを更新します。
Server 2003 SP1以降を実行しているかどうかに応じて、これは確実に実現可能です。その場合は、イベントビューアへの特定のアクセスを許可するレジストリ設定を変更し、ユーザーにローカルGPO設定を適用します。
Microsoftにはドキュメント ここ があり、まさにやりたいことを実行するための手順が示されています。