Ошибка Query Error "Internet Explorer - Access is denied" при открытии лога "Administrative Events" в Event Viewer на Windows Server 2022

Query Error "Internet Explorer - Access is denied" when opening "Administrative Events" log in Event Viewer on Windows Server 2022В оснастке управления "Event Viewer" (eventvwr.msc) на Windows Server 2022 при попытке открытия специального представления "Administrative Events", отображающего все ошибки и предупреждения из активных event-логов, мы можем столкнуться с сообщением "One or more logs in the query have errors" с отсылкой на ошибку "Access is denied" для лога "Internet Explorer". Это сообщение может здорово надоедать, если часто приходится использовать в работе данное административное представление.

One or more logs in the query have errors - Internet Explorer Access is denied in Administrative Events in Event Viewer on Windows Server 2022

Проблема связана с тем, что в конфигурации запроса представления "Administrative Events" есть отсылка на event-лог "Internet Explorer", но при попытке доступа к этому журналу мы получаем отказ.

Internet Explorer Event Log error Access is denied in Event Viewer on Windows Server 2022

Проблема воспроизводится также и на Windows 11 и может быть исправлена путём корректировки настроек системного реестра Windows, отвечающих за доступ к event-логу "Internet Explorer" в ключе:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer

На Windows Server 2022 в конфигурации по умолчанию параметр "CustomSD" имеет следующее значение:

O:BAG:SYD:(A;;0x07;;;DA)(A;;0x07;;;LA)(D;;0x07;;;DU)(A;;0x07;;;WD)S:(ML;;0x1;;;LW)

Internet Explorer Event Log CustomSD SDDL for Event Viewer on Windows Server 2022

Попробуем перевести в более понятный вид это SDDL-значение с помощью PowerShell:

ConvertFrom-SddlString -Sddl "O:BAG:SYD:(A;;0x07;;;DA)(A;;0x07;;;LA)(D;;0x07;;;DU)(A;;0x07;;;WD)S:(ML;;0x1;;;LW)"

ConvertFrom-SddlString for Internet Explorer Event Log SDDLКак видим, разрешающие права имеются для группы доменных администраторов и встроенной локальной учётной записи администратора сервера. Для группы доменных пользователей установлен явный запрет. Есть также разрешающее правило для группы Everyone, но в нашем случае оно не работает (возможно это как-то связано с ранее опубликованной проблемой безопасности и последующими обновлениями Windows).

Если задачи администрирования сервером, в том числе и задачу чтения event-логов мы выполняем в контексте специальных доменных учётных записей, не имеющих прав администратора домена, то можно попробовать внести корректировку в данный набор прав в параметре "CustomSD". А именно, уберём права для группы администраторов домена "(A;;0x07;;;DA)", уберём права локальной учётной записи администратора "(A;;0x07;;;LA)", уберём права для группы Everyone "(A;;0x07;;;WD)" и добавим права для встроенной группы администраторов "(A;;0x07;;;BA)". Результирующее значение параметра "CustomSD" в этом случае получится следующим:

O:BAG:SYD:(A;;0x07;;;BA)(D;;0x07;;;DU)S:(ML;;0x1;;;LW)

ConvertFrom-SddlString for Internet Explorer Event Log SDDL

Интересно то, что в Windows Server 2016, значение этого параметра в конфигурации по умолчанию … куда более "демократичное":

O:BAG:SYD:(A;;0x07;;;WD)S:(ML;;0x1;;;LW)

После изменения значения параметра "CustomSD", для вступления изменений в силу, нам потребуется взбодрить службу "Windows Event Log" (EventLog). Однако система может нам не позволить выполнить перезапуск этой службы из-за имеющихся зависимостей с другими системными службами. Поэтому самым простым вариантом будет перезагрузка системы.

После перезагрузки доступ к event-логу "Internet Explorer" должен восстановиться, а представление "Administrative Events" больше не должно нам показывать сообщения об ошибке.

Добавить комментарий