Ein normaler Nutzer darf unter Windows i.d.R. nicht ins Eventlog schreiben, sondern maximal lesen. Wurde z.B. für einen Dienst ein separater Nutzer erstellt, welcher seine Meldungen ins Eventlog ausgeben muss, so muss dieser entsprechend explizit darauf berechtigt werden.

Erster Schritt ist es den Security-Identifier (SID) des Nutzers in Erfahrung zu bringen.

Diese kann man z.B. mit in der Ansicht aktivierten „Advanced Features“ der Active Directory Users and Computers MMC entnehmen.
Unter Windows 2008 R2 gibt es dafür direkt einen Tab namens „Attribute Editor“ dem das „objectSid“ entnommen werden kann.

Als nächstes lässt man sich am entsprechenden Server die Berechtigungen für das jeweilige Eventlog ausgeben:

C:\>wevtutil gl application > C:\tmp\output.txt

In der Ausgabe steht nach dem Punkt „channelAccess:“ der Berechtigungsstring in Windows Security Descriptor Definition Language (SDDL).

Schließlich muss der Berechtigungsstring um die entsprechende SID des zu berechtigenden Nutzers erweitert und zurück geschrieben werden.

C:\>wevtutil sl Application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0×7;;;BA)(A;;0×7;;;SO)(A;;0×3;;;IU)(A;;0×3;;;SU)(A;;0×3;;;S-1-5-3)(A;;0×3;;;S-1-5-33)(A;;0×1;;;S-1-5-32-573)(A;;0×3;;;{SID})

Durch diesen Prozess gibt es nun auch in der Registry unter „Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application“ einen zusätzlichen Schlüssel namens „CustomSD“ welcher den Berechtigungsstring enthält.

(Quelle: jpadda.wordpress.com)

Share