Меню

Групповая политика настройка журналов



Настройка безопасности журнала событий на локальном компьютере или с помощью групповой политики

Вы можете настроить права доступа к журналам событий в Windows Server 2012. Эти параметры можно настроить локально или с помощью групповой политики. В этой статье описывается использование обоих способов.

Исходная версия продукта: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Исходный номер статьи базы знаний: 323076

Аннотация

Вы можете предоставить пользователям одну или несколько из следующих прав доступа к журналам событий:

Вы можете настроить журнал безопасности аналогичным образом. Однако вы можете изменить только разрешения на чтение и очистку. Доступ на запись к журналу безопасности резервируется только для локального центра безопасности Windows (LSA).

Для этой цели можно использовать политику административных шаблонов. Путь к системному журналу событий, например:

Конфигурация компьютера \ административные шаблоны \ административные шаблоны \ компоненты журнала Компонентс\евент Сервице\систем

Этот параметр настраивает доступ к журналу и использует ту же строку языка определения дескрипторов безопасности (SDDL).

Корпорация Майкрософт предлагает перейти к этому методу после того, как вы используете Windows Server 2012.

Локальная настройка безопасности журнала событий

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о резервном копировании и восстановлении реестра ознакомьтесь со статьей резервное копирование и восстановление реестра в Windows.

Безопасность каждого журнала настраивается локально с помощью значений в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog .

Например, дескриптор безопасности журнала приложений настраивается с помощью следующего значения реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

И дескриптор безопасности системного журнала настраивается с помощью HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD .

Дескриптор безопасности для каждого журнала задается с помощью синтаксиса SDDL. Дополнительные сведения о синтаксисе SDDL можно найти в статье Platform SDK или в статье, указанной в разделе References этой статьи.

Чтобы создать строку SDDL, обратите внимание на три отдельных права, которые относятся к журналам событий: Read, Write и Clear. Эти права соответствуют следующим битам в поле права доступа строки ACE:

Ниже приведен пример SDDL, отображающий строку SDDL по умолчанию для журнала приложений. Права доступа (в шестнадцатеричном формате) выделяются полужирным шрифтом:

О:БАГ: SYD: (D;; 0xf0007 ;;; A) (D;; 0xf0007;;; BG) (A;; 0xf0007;;; SY) (A;; 0x5;;; BA) (A;; 0x7;;; Таким образом) (A;; 0x3;;; I U) (A;; 0x2;;; BA) (A;; 0x2;;; LS) (A;; 0x2;;; ИМЕН

Например, первая запись ACE запрещает анонимным пользователям читать, записывать и очищать доступ к журналу. Шестая запись ACE позволяет интерактивным пользователям считывать и записывать журнал.

Изменение локальной политики для разрешения настройки безопасности журналов событий

Создайте резервную копию файла%Виндир%\инф\сцерегвл.инф в известном расположении.

Откройте%Виндир%\инф\сцерегвл.инф в блокноте.

Прокрутите файл до середины и поместите указатель непосредственно перед [Strings].

Вставьте следующие строки:

Мачине\систем\куррентконтролсет\сервицес\евентлог\аппликатион\кустомсд, 1,% Апплогсд%, 2
Мачине\систем\куррентконтролсет\сервицес\евентлог\систем\кустомсд, 1,% Сислогсд%, 2

Прокрутите файл до конца и вставьте следующие строки:

Апплогсд = «журнал событий: укажите безопасность журнала приложений в синтаксисе SDDL (на языке определения дескрипторов безопасности)»
Сислогсд = «журнал событий: укажите безопасность системного журнала в синтаксисе SDDL для языка определения дескрипторов безопасности».

Сохраните и закройте файл.

Нажмите кнопку Пуск, выберите пункт выполнить, введите regsvr32 scecli.dll в поле Открыть , а затем нажмите клавишу ВВОД.

В диалоговом окне DllRegisterServer in scecli.dll SUCCEEDED нажмите кнопку ОК.

Использование локальной групповой политики компьютера для настройки безопасности журнала приложений и системы

  1. Нажмите кнопку Пуск, выберите пункт выполнить, введите gpedit. mscи нажмите кнопку ОК.
  2. В редакторе групповой политики последовательно разверните узлы Параметры Windows, Параметры безопасности, Локальные политики, а затем — Параметры безопасности.
  3. Дважды щелкните журнал событий: SDDL журнала приложений, введите нужную строку SDDL для безопасности журнала, а затем нажмите кнопку ОК.
  4. Дважды щелкните журнал событий: SDDL системного журнала, введите нужную строку SDDL для безопасности журнала, а затем нажмите кнопку ОК.

Использование групповой политики для настройки безопасности журнала приложений и системы для домена, сайта или подразделения в Active Directory

Чтобы просмотреть параметры групповой политики, описанные в этой статье, в редакторе групповой политики, сначала выполните следующие действия, а затем перейдите к разделу Использование групповой политики для настройки безопасности журнала приложений и систем :

Откройте файл Сцерегвл. INF в папке%Windir%\Inf, используя текстовый редактор, например «Блокнот».

Добавьте следующие строки в раздел [Register Values реестра]:

Мачине\систем\куррентконтролсет\сервицес\евентлог\аппликатион\кустомсд, 1,% Аппкустомсд%, 2
Мачине\систем\куррентконтролсет\сервицес\евентлог\секурити\кустомсд, 1,% Секкустомсд%, 2
Мачине\систем\куррентконтролсет\сервицес\евентлог\систем\кустомсд, 1,% Сискустомсд%, 2
Мачине\систем\куррентконтролсет\сервицес\евентлог\директори Сервице\кустомсд, 1,% DSCustomSD%, 2
Мачине\систем\куррентконтролсет\сервицес\евентлог\днс Сервер\кустомсд, 1,% Днскустомсд%, 2
Репликация Мачине\систем\куррентконтролсет\сервицес\евентлог\филе Сервице\кустомсд, 1,% Фрскустомсд%, 2

Добавьте следующие строки в раздел [Strings]:

Аппкустомсд = «EventLog: дескриптор безопасности для журнала событий приложения»
Секкустомсд = «EventLog: дескриптор безопасности для журнала событий безопасности»
Сискустомсд = «EventLog: дескриптор безопасности для журнала событий системы»
Дскустомсд = «EventLog: дескриптор безопасности для журнала событий службы каталогов»
Днскустомсд = «EventLog: дескриптор безопасности для журнала событий DNS-сервера»
Фрскустомсд = «EventLog: дескриптор безопасности для журнала событий службы репликации файлов»

Сохраните изменения, внесенные в файл Сцерегвл. INF, а затем выполните regsvr32 scecli.dll команду.

Запустите gpedit. msc, а затем дважды щелкните следующие ветви, чтобы развернуть их:

Конфигурация компьютера
Параметры Windows
Параметры безопасности
Локальные политики
Параметры безопасности

Просмотрите правая панель, чтобы найти новые параметры EventLog.

Использование групповой политики для настройки безопасности журнала приложений и системы

В оснастке «Active Directory — сайты и службы» или оснастке «Active Directory — пользователи и компьютеры» щелкните правой кнопкой мыши объект, для которого необходимо задать политику, а затем выберите пункт Свойства.

Перейдите на вкладку Групповая политика .

Если необходимо создать новую политику, выберите создать, а затем укажите имя политики. В противном случае перейдите к шагу 5.

Выберите нужную политику и нажмите кнопку изменить.

Откроется оснастка «Локальная групповая политика» консоли управления (MMC).

Последовательно разверните узлы Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политикии выберите Параметры безопасности.

Дважды щелкните журнал событий: SDDL журнала приложений, введите нужную строку SDDL для безопасности журнала, а затем нажмите кнопку ОК.

Дважды щелкните журнал событий: SDDL системного журнала, введите нужную строку SDDL для безопасности журнала, а затем нажмите кнопку ОК.

Ссылки

Дополнительные сведения о синтаксисе SDDL и о том, как создать строку SDDL, можно найти в разделе Формат строки дескриптора безопасности.

Источник

Устранение неполадок групповой политики с помощью журналов событий

Читайте также:  Aida64 удаленный мониторинг настройка

Посетителей: 26171 | Просмотров: 38610 (сегодня 0) Шрифт:

Понимание того, каким образом следует производить диагностику и устранять неполадки групповой политики, является очень важным вопросом поддержания корпоративных стандартов. Безопасность и управляемость сетей, а также снижение стоимости их эксплуатации во многом зависят от надежной работы групповой политики. Иногда ИТ-администраторам необходимо определить причину, по которой групповая политика не была применена для того или иного пользователя или компьютера. Понимание того, где следует искать всю необходимую информацию и как ею пользоваться, может превратить возможные часы простоя системы лишь в небольшую временную задержку.

В этом руководстве Вы ознакомитесь с главными принципами устранения неполадок групповой политики Windows Vista и узнаете следующее:

Как находить новые сведения об устранении неполадок.

Как с помощью программы просмотра событий выбирать только определенные сведения о групповой политике.

Как работать с данными данные журналов событий и интерпретировать их.

Как использовать правильные методы нахождения точек сбоя.

Предварительные условия

Это руководство рассчитано на ИТ-специалистов, обладающих базовыми знаниями о механизмах работы групповой политики. Кроме того, Вы должны иметь ясное представление о процессе развертывания, настройки, использования и управления групповой политикой и ее сопутствующими компонентами в Вашей организации.

Усовершенствованный журнал событий групповой политики

Windows Vista предоставляет в Ваше распоряжение новую, централизованную систему регистрации событий, а также существенно переработанную программу просмотра событий. Такие функции, как поиск в нескольких журналах событий, интеграция с планировщиком задач и настраиваемый способ отображения результатов поиска делают программу Просмотр событий идеальным инструментом для отслеживания состояний системы и групповой политики.

Более ранние версии групповой политики использовали имя источника события «Userenv». В предыдущих версиях ОС Windows это же имя использовалось и другими компонентами системы, вследствие чего было трудно выделить события групповой политики из общего набора событий данного источника. Кроме того, содержащаяся в журнале событий диагностическая информация не была достаточно полезной.

В операционной системе Windows Vista вся информация о событиях групповой политики записывается в журнал программы Просмотр событий, а именем источника события является «Group Policy». Это упрощает поиск событий групповой политики. Еще одним усовершенствованием является более детальная информация о каждом событии. Эта информация включает в себя подробное описание события, возможные причины возникновения, а также рекомендации по дальнейшим действиям. События групповой политики Вы можете найти в журнале системных событий, а также в операционном журнале групповой политики.

Запуск программы просмотра событий

Журнал системных событий

Журнал системных событий используется для просмотра событий, зарегистрированных ОС Windows и ее службами. Все события подразделяются на три категории: Ошибка, Предупреждение и Сведения. События управления службы групповой политики записываются в журнал системных событий и помогают Вам определить состояние обработки групповой политики. В предыдущих версиях ОС Windows эти события записывались в журнал приложений.

Для запуска программы просмотра событий выполните следующие действия:

Откройте меню Пуск.

Выберите пункт Панель управления.

Перейдите по ссылке Система и ее обслуживание.

Перейдите по ссылке Администрирование.

Дважды щелкните значок Просмотр событий.

Операционный журнал групповой политики

Операционный журнал групповой политики позволяет Вам увидеть работу службы групповой политики, производимую до и во время обработки групповой политики. Предыдущие версии Windows предоставляли подобную функциональность, используя регистрацию событий Userenv. Тем не менее, другие компоненты системы также записывали события в этот журнал, тем самым делая его непригодным для выявления событий групповой политики. Кроме того, информация в файлах этого журнала была неоднозначной, запутанной и требовала от ИТ-специалиста достаточно хорошего понимания принципов работы групповой политики. Операционный журнал групповой политики в Windows Vista заменяет журнал событий «Userenv» и, в отличие от своего предшественника, предоставляет всестороннее, детальное описание события.

Для просмотра операционного журнала групповой политики выполните следующие действия:

Запустите программу Просмотр событий.

Раскройте узел Журналы приложений и служб — Microsoft — Windows — Group Policy.

Откройте журнал Operational.

Устранение неполадок групповой политики с помощью журналов событий

Использование программы просмотра событий

Вы можете использовать программу Просмотр событий для локализации причин большинства неисправностей в работе групповой политики. Программа Просмотр событий, входящая в состав Windows Vista, обладает новым пользовательским интерфейсом. Вам следует хорошо ознакомиться с новым интерфейсом и запомнить, где размещается информация, относящаяся к обработке групповой политики. Ниже перечислены элементы интерфейса просмотрщика событий, содержащие всю информацию, необходимую для диагностирования работы групповой политики.

Рисунок 1 – Вид вкладки «Общие» в программе просмотра событий

Описание. Содержит текст, описывающий произошедшее событие. События групповой политики обычно содержат описание события, информацию о возможных причинах его возникновения, а также возможные варианты дальнейших действий.

Подача. Название программного обеспечения, зарегистрировавшего событие. Для событий групповой политики это поле всегда имеет значение «GroupPolicy».

Код события. Отображает цифровой код (ID) типа зарегистрированного события. Эти коды используются для событий управления в журнале системных событий и в операционном журнале групповой политики. Дополнительную информацию об отдельных событиях групповой политики и их кодах Вы можете найти в приложениях в конце этого документа.

Уровень. Определяет степень важности события. Для событий групповой политики используются следующие уровни: Ошибка, Предупреждение и Сведения.

Пользователь. Имя учетной записи пользователя, в контексте которой произошло событие. Для регистрации событий обработки групповой политики компьютера используется имя SYSTEM. Для регистрации событий обработки групповой политики пользователя используется имя соответствующей учетной записи пользователя.

Дата. Дата и локальное время записи события системой регистрации событий. В ОС Windows Vista имеется возможность довольно частого обновления групповой политики. Поэтому при диагностировании групповой политики убедитесь, что время регистрации просматриваемых событий соответствуют времени, в которое возникла проблема.

Компьютер. Имя компьютера, на котором произошло событие.

Подробности. Гиперссылка на веб-узел Microsoft TechNet. Перейдя по этой ссылке, Вы сможете получить информацию о событии и возможных причинах его возникновения, а также рекомендации по решению возникшей проблемы в случае, если событие имеет уровень Предупреждение или Ошибка.

Система регистрации событий ОС Windows Vista записывает каждое событие, используя язык XML. Это позволяет службе групповой политики фиксировать дополнительную информацию о каждом событии. Данная информация может оказаться полезной при диагностировании работы групповой политики, и для ее просмотра Вам необходимо воспользоваться вкладкой Подробности. На этой вкладке существует два режима отображения информации: Режим XML и Понятное представление. В режиме XML дополнительная информация о событии отображается в виде сложного для восприятия XML-текста. В режиме Понятное представление эта же самая информация наглядно отображается в виде иерархической структуры. Для просмотра дополнительной информации о событии используется именно этот режим.

Читайте также:  Настройки автомобиля dirt rally

Категории System и EventData

В режиме Понятное представление вся информация разделена на две категории: System и EventData. Служба групповой политики записывает информацию в обе из этих категорий. Ниже описываются важные параметры, которые используются при диагностировании работы групповой политики.

Рисунок 2 – Вид вкладки «Подробности» в программе просмотра событий

Параметр ActivityID содержит идентификатор операции групповой политики. Служба групповой политики создает уникальный код ActivityID каждый раз, когда обновляется групповая политика. Например, в случае, если групповая политика обрабатывается во время загрузки компьютера, служба групповой политики назначает этому экземпляру обработки групповой политики код ActivityID. В дальнейшем все события, зарегистрированные во время работы этого экземпляра, используют тот же идентификатор ActivityID до тех пор, пока обработка групповой политики не будет завершена. Обработка считается завершенной, когда процесс заканчивается успешно либо с ошибками. Групповая политика пользователя обрабатывается при входе пользователя в систему. При этом экземпляру обработки групповой политики пользователя снова назначается уникальный идентификатор ActivityID, который используется до окончания процесса обработки политики. Описанный механизм выполняется для каждого нового экземпляра обработки групповой политики, создаваемого как при автоматическом, так и при принудительном обновлении политики. Идентификатор операции ActivityID отображается для всех событий групповой политики.

Этот параметр имеет то же значение, что и параметр ActivityID. Служба групповой политики использует это значение для идентификации экземпляра обработки групповой политики. Параметр PolicyActivityID отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Этот параметр содержит имя участника безопасности – имя компьютера, если применяется политика компьютера, или имя пользователя, если применяется политика пользователя. Имя участника безопасности отображается в формате «имя_домена\имя_компьютера» или «имя_домена\имя_пользователя». Параметр PrincipalSamName отображается для событий запуска групповой политики (коды событий 4000-4007), событий получения информации о следующем экземпляре обработки групповой политики (код 5315), событий завершения групповой политики (коды 8000-8007), а также для сценариев событий запуска и завершения (коды событий 4018 и 5018).

Если компьютер является членом домена, параметр IsDomainJoined имеет значение «true». В противном случае этот параметр имеет значение «false». Параметр IsDomainJoined отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Если параметры групповой политики применяются в фоновом режиме, параметр IsBackgoundProcessing имеет значение «true». В остальных случаях этот параметр имеет значение «false». Если значением параметра IsBackgoundProcessing является «false», и при этом параметр IsAsyncProcessing также имеет значение «false», то параметры групповой политики применяются синхронно в основном режиме. Параметр IsBackgoundProcessing отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Если параметры групповой политики применяются асинхронно в фоновом режиме, параметр IsAsyncProcessing имеет значение «true». В остальных случаях этот параметр имеет значение «false». Если значением параметра IsAsyncProcessing является «false», и при этом параметр IsBackgoundProcessing также имеет значение «false», то параметры групповой политики применяются синхронно в основном режиме. Параметр IsAsyncProcessing отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Значение параметра PolicyApplicationMode указывает на тип обработки групповой политики. Этот параметр может принимать три значения:

Обработка в фоновом режиме: в этом режиме происходит обработка вторичного экземпляра групповой политики. Обработка в фоновом режиме происходит при обновлении групповой политики. Например, обновление групповой политики происходит каждые 90 минут.

Синхронная обработка в основном режиме: в этом режиме обрабатываются экземпляры групповой политики, создающиеся при загрузке компьютера и при входе пользователя в систему. Синхронная обработка в основном режиме происходит в случаях, когда обработка политики компьютера должна завершиться прежде, чем будет отображено диалоговое окно входа в систему, а также тогда, когда обработка политики пользователя во время его входа в систему должна завершиться прежде, чем пользователь увидит свой рабочий стол.

Асинхронная обработка в основном режиме: в этом режиме обрабатываются экземпляры групповой политики, создающиеся при загрузке компьютера и при входе пользователя в систему. Однако в случае асинхронной обработки Windows отображает диалоговое окно входа в систему, не дожидаясь завершения обработки политики компьютера. Кроме того Windows отображает рабочий стол пользователя, также не дожидаясь завершения обработки политики пользователя.

Параметр PolicyProcessingMode используется для того, чтобы определить, выполняется ли обработка замыкания на себя, или нет. Также этот параметр используется для определения того, выполняется ли замыкание на себя в режиме замены или в режиме объединения.

Нормальный режим: замыкание на себя не выполняется.

Замыкание на себя в режиме объединения: выполняется замыкание на себя, при этом служба групповой политики объединяет параметры пользователя, областью действия которых является пользователь, и параметры пользователя, областью действия которых является компьютер.

Замыкание на себя в режиме замены: выполняется замыкание на себя, при этом служба групповой политики замещает параметры пользователя, областью действия которых является пользователь, параметрами пользователя, областью действия которых является компьютер.

Параметр ProcessingTimeInMilliseconds используется для определения интервала времени, выраженного в миллисекундах, за который было завершено выполнение операции в описываемом событии.

Примечание

1 миллисекунда – это 1/1000 секунды. Для того чтобы определить количество прошедших секунд, разделите значение параметра ProcessingTimeInMilliseconds на 1000. Например, значение параметра ProcessingTimeInMilliseconds 12’747 эквивалентно 12,74 секундам.

Значением параметра DCName является имя контроллера домена, который используется службой групповой политики для взаимодействия со службой каталогов Active Directory.

EventData\ErrorCode и EventData\ErrorDescription

Эти два параметра отображаются для событий, имеющих статус Ошибка. Параметр ErrorCode содержит десятичный код, описывающий проблему, приведшую к возникновению события. Параметр ErrorDescription содержит краткое описание возникшей проблемы.

Усовершенствования службы групповой политики сделали процесс диагностирования неполадок более систематизированным по сравнению с предыдущими операционными системами. Если Вы столкнулись с неполадками групповой политики в Windows Vista, начните работу по их устранению с выполнения следующих шагов.

Использование журнала системных событий для устранения неполадок групповой политики

Начните работу по устранению неполадок с использования журнала системных событий. Служба групповой политики записывает события управления в журнал системных событий. Статус событий службы групповой политики имеет следующие уровни:

Сведения: служба групповой политики работает правильно.

Предупреждение: служба групповой политики работает правильно, но в работе других зависимых служб могли произойти ошибки.

Ошибка: в работе службы групповой политики произошла ошибка.

Если Вы столкнулись с такими событиями, прочтите их описания. В большинстве случаев описание предоставляет Вам информацию о событии, о причинах, которые могли привести к наступлению этого события, а также предложения по решению проблемы.

Читайте также:  Настройка вторичного зеркала телескопа

Ссылка Подробности на вкладке Общие. Если Вам необходима дополнительная информация по устранению проблемы, щелкните ссылку Подробности на вкладке Общие. Эта ссылка ведет на веб-узел Microsoft TechNet, содержащий информацию о данном событии. Тут же Вы можете получить основную информацию, которая может помочь в диагностировании и решении проблемы.

Операционный журнал групповой политики. Правильная работы службы групповой политики также зависит и от других компонентов системы. Часто проблемы в работе зависимых компонентов отображаются в журнале системных событий как события групповой политики. Такие ситуации требуют рассмотрения последовательности применения политики компьютера или пользователя с использованием операционного журнала групповой политики. Используйте для этого процедуры, описанные в следующем разделе «Устранение неполадок с использованием операционного журнала групповой политики».

Устранение неполадок с использованием операционного журнала групповой политики

Определение экземпляра обработки групповой политики

Перед просмотром операционного журнала групповой политики Вы должны определить экземпляр обработки групповой политики, в работе которого возникла ошибка.

Определение экземпляра обработки групповой политики

Для определения экземпляра обработки групповой политики выполните следующие действия:

Запустите программу Просмотр событий.

Раскройте узел Просмотр событий (Локальный) — Журналы Windows и выберите журнал Система.

Дважды щелкните на диагностируемом событии со статусом Ошибка или Предупреждение.

Перейдите на вкладку Подробности и выберите режим просмотра Понятное представление. Раскройте узел System.

В раскрывшемся списке найдите параметр ActivityID. Позже Вы будете использовать значение этого параметра (без скобок) в Вашем запросе. Скопируйте это значение в программу Блокнот и нажмите кнопку Закрыть.

Создание настраиваемого представления экземпляра групповой политики

Часто на компьютере одновременно выполняются или обрабатываются несколько экземпляров групповой политики. Например, это происходит на серверах терминалов с запущенными службами терминалов. По этой причине важно выделить в операционном журнале групповой политики в отдельную группу все события, относящиеся к определенному экземпляру групповой политики, с которым Вы работаете.

В программе Просмотр событий выполните следующий запрос, с помощью которого создается настраиваемое представление операционного журнала групповой политики для определенного экземпляра обработки групповой политики.

Для создания настраиваемого представления экземпляра групповой политики выполните следующие действия:

Запустите программу Просмотр событий.

Правой кнопкой мыши щелкните на узле Настраиваемые представления и в контекстном меню выберите команду Создать настраиваемое представление.

Перейдите на вкладку XML и установите флажок Изменить запрос вручную. Вы увидите диалоговое окно с сообщением о том, что если Вы выберете изменение запроса вручную, то в дальнейшем не сможете изменять запрос с помощью элементов управления вкладки Фильтр. Нажмите кнопку Да.

Скопируйте следующий текст в буфер обмена и вставьте его в окне запроса программы Просмотр событий:

Скопируйте в буфер обмена идентификатор операции ActivityID, который Вы записали во время выполнения процедуры «Определение экземпляра обработки групповой политики». В окне запроса программы Просмотр событий выделите текст «ВСТАВЬТЕ СЮДА ИДЕНТИФИКАТОР ОПЕРАЦИИ» и замените его содержимым буфера обмена, нажав комбинацию клавиш CTRL+V.

Примечание

Убедитесь, что Вы не затерли скобки (< >), в которые должен быть заключен идентификатор операции. Эти скобки должны присутствовать для правильного выполнения запроса.

В диалоговом окне Сохранить фильтр в настраиваемое представление введите имя и описание создаваемого представления и нажмите кнопку OK.

Созданное представление будет отображаться под заданным именем в узле Настраиваемые представления. Щелкните на имени созданного представления для отображения всех его событий в окне просмотра событий.

Важно

Помните о том, что служба групповой политики назначает уникальный идентификатор операции каждому экземпляру обработки групповой политики. Например, при обработке политики пользователя во время его входа в систему, экземпляру обработки назначается уникальный код ActivityID. При обновлении групповой политики, экземпляру обработки, отвечающему за это обновление, назначается другой уникальный код ActivityID.

Операционный журнал групповой политики содержит диапазоны числовых кодов, относящихся к определенным событиям. В следующей сводной таблице перечислены все диапазоны кодов событий и их описания.

Диапазон кодов событий

События запуска групповой политики. Эти события с уровнем Сведения регистрируются в журнале событий в момент начала обработки экземпляра групповой политики.

События запуска компонентов. Эти события с уровнем Сведения регистрируются в журнале событий в тот момент, когда компонент обработки групповой политики запускает задачу, описанную в событии.

События успешного завершения работы компонентов. Эти события с уровнем Сведения регистрируются в журнале событий в тот момент, когда компонент обработки групповой политики успешно завершает выполнение задачи, описанной в событии.

Информационные события. Эти события с уровнем Сведения регистрируются в журнале событий на протяжении всего процесса обработки экземпляра групповой политики и предоставляют дополнительную информацию о текущем экземпляре.

Предупреждения групповой политики. Эти события с уровнем Предупреждение регистрируются в журнале событий, если обработка экземпляра групповой политики завершается с ошибками.

Предупреждения компонентов. Эти события с уровнем Предупреждение регистрируются в журнале событий, если компонент обработки групповой политики завершает выполнение задачи, описанной в событии, с ошибками.

Информационные предупреждения. Эти события с уровнем Предупреждение регистрируются в журнале событий и предоставляют дополнительную информацию о возможном возникновении ошибок в процессе работы описываемой задачи.

Ошибки групповой политики. Эти события с уровнем Ошибка регистрируются в журнале событий, если обработка экземпляра групповой политики оказывается незавершенной.

Ошибки компонентов. Эти события с уровнем Ошибка регистрируются в журнале событий, если компонент обработки групповой политики не завершает выполнение задачи, описанной в событии.

Информационные сообщения об ошибках. Эти события с уровнем Ошибка регистрируются в журнале событий и предоставляют дополнительную информацию об ошибках, возникших в процессе работы описываемой задачи.

События успешного завершения обработки групповой политики. Эти события с уровнем Сведения регистрируются в журнале событий в момент успешного завершения обработки экземпляра групповой политики.

Большинство событий регистрируются в операционном журнале групповой политики попарно. Каждому событию запуска сопоставлено регистрируемое в журнале событие завершения работы. События завершения могут содержать информацию об успешном завершении работы, предупреждения или сообщения об ошибках. Обычно последние две цифры кодов этих событий одинаковы. Например, событие с кодом 4017 говорит о том, что компонент групповой политики запустил определенную задачу. Если эта задача завершилась успешно, в журнале регистрируется событие с кодом 5017. Если задача завершилась с ошибками, либо ее запуск не удался, то в журнале регистрируется событие с кодом 6017 или 7017 соответственно. Та же схема нумерации используется для сообщений из диапазона 8000-8007. Эти сведения помогут Вам быстро выявлять в операционном журнале групповой политики предупреждения и сообщения об ошибках.

Источник

Adblock
detector