Я пытаюсь дать учетной записи, не являющейся администратором, возможность только читать (но не изменять) журнал безопасности. Общая цель - создание небольшой системы, работающей с ограниченными привилегиями, которая реагирует на различные события безопасности. Система должна работать как зарегистрированный пользователь без прав администратора, чтобы она могла взаимодействовать со своим рабочим столом для отображения различных сообщений (и да, я знаю, что есть коммерческие решения, которые уже делают это).
Неудачно попробовал:
- Предоставление пользователю разрешения на чтение для следующих записей реестра:
,
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Security\Security
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\*
Я пробовал явные разрешения, а также унаследованные от родительского объекта.
- Изменение разрешений для C:\Windows\System32\winevt\Logs\Security.evtx
Во всех случаях я проверял действующие разрешения и перезагружал компьютер, чтобы службы Winevent и т.д. Знали об изменениях разрешений. Есть идеи?