Windows 2012 EventViewer Powershell脚本错误

Question

我有一个奇怪的错误，似乎它的权限相关，虽然我做了相当多的搜索，没有任何建议是有效的。

我有一个powershell脚本，直接在Windows2012 DC上运行。它试图从EventViewer日志中获取信息，特别是“安全性”，但是服务器现在突然(几天前)说，“get : Requested是不允许的”。

这也是一个非常简单的命令：

Get-Eventlog -Logname Security -Newest 1

但其结果如下：

Get-EventLog : Requested registry access is not allowed.
At line:1 char:1
+ Get-EventLog -Newest 1
+ ~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Get-EventLog], SecurityException
    + FullyQualifiedErrorId : System.Security.SecurityException,Microsoft.PowerShell.Commands.GetEventLogCommand

我所尝试的是：

• 允许我自己(确保管理员/服务器操作员可以完全访问)，还临时添加了“每个人”。这是在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog :RegEdit中完成的
• 清除EventViewer中的安全日志
• 尝试在辅助DC上运行具有相同权限的相同脚本，并且在那里工作。如果我指定-Computername SecondDC.mydomain.ads，但不指定它或指定FirstDc.mydomain.ads，也是有效的。

我觉得有什么东西可能是腐败的？我不知道该从哪看这一点。我应该能够作为管理员从powershell中提取事件日志。

Answer 1

这就像是一个解决方案，对于一个简单而明显的安全监视请求来说，它太复杂了，但是它可以在w2012上工作：

• 作为管理运行regedit
• nav到KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
• 右击“安全”
• 单击权限
• 添加一个组(如“事件日志阅读器”)
• 选择您添加的组。
• 在“允许”下检查读取
• 退出regedit并将此组添加到需要访问的用户
• 这些用户需要退出并重新登录才能激活

是的，其他人在我之前就发现了这个，http://powerkb.se/?p=614