wevtutil erfordert „Als Administrator ausführen“ für Sicherheitsprotokoll (aber nicht für System) oder „Als Administrator ausführen“ für Task

wevtutil erfordert „Als Administrator ausführen“ für Sicherheitsprotokoll (aber nicht für System) oder „Als Administrator ausführen“ für Task

Ich verwende diese Abfrage, um zu prüfen, ob auf meinem primären Windows 2008 R2 AD-Konto bestimmte Änderungen am Exchange-Konto vorgenommen wurden:

wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1

Ich erstelle daraus eine Batchdatei, um den Inhalt des Ereignisses mit dem Taskplaner als Anhang per E-Mail zu versenden, wie in diesem Beitrag beschrieben: http://blogs.technet.com/b/jhoward/archive/2010/06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx

Das Problem: Ich kann das wevtutil qe Systemden ganzen Tag lang tun, aber wenn ich das mache, wevtutil qe Securitywas ich brauche, muss ich mich in einer Eingabeaufforderung mit erhöhten Rechten befinden (dieselben Benutzeranmeldeinformationen des Domänenadministrators, nur CMD als Administrator ausgeführt). Wenn also meine geplante Aufgabe die Batchdatei aufruft, wird sie, obwohl die Aufgabe unter dem SYSTEM-Konto die Option „Mit höchsten Rechten ausführen“ hat, nicht in einer Eingabeaufforderung mit erhöhten Rechten ausgeführt, was bedeutet, dass ein Fehler auftritt: „Ereignisabfrage konnte nicht geöffnet werden. Zugriff verweigert.“

Eine der folgenden Maßnahmen kann mein Problem beheben:

  1. Öffnen Sie das Sicherheitsprotokoll so, dass es wie das Systemprotokoll aussieht, sodass Sie keine Eingabeaufforderung mit erhöhten Rechten benötigen, um mit wevtutil auf den Inhalt zuzugreifen.

  2. Führen Sie die Aktion „Geplante Aufgabe“ in einer Eingabeaufforderung mit erhöhten Rechten aus.

  3. Eine dritte Sache, an die ich nicht gedacht habe

Antwort1

Verwenden Sie ein Konto, das Mitglied der Gruppe „Ereignisprotokollleser“ ist.

verwandte Informationen