Настройка безопасности журнала событий локально или с помощью групповой политики

В Windows Server 2012 можно настроить права на доступ к журналам событий системы безопасности. Эти параметры можно настроить локально или с помощью групповой политики. В этой статье описывается использование обоих этих методов.

Исходная версия продукта: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Исходный номер КБ: 323076

Аннотация

Вы можете предоставить пользователям одно или несколько из следующих прав доступа к журналам событий:

Журнал безопасности можно настроить таким же образом. Однако можно изменить только разрешения на чтение и очистку доступа. Доступ на запись в журнал безопасности зарезервирован только для локального органа безопасности Windows (LSA).

Для этой цели можно использовать политику административных шаблонов. Например, путь к системным событиям:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Служба журнала событий\Система

Этот параметр настраивает доступ к журналу и принимает ту же строку SDDL.

Корпорация Майкрософт предлагает двигаться к этому методу после перехода на Windows Server 2012.

Локализованная настройка безопасности журнала событий

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой теме.

Безопасность каждого журнала настраивается локально с помощью значений в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog реестра.

Например, дескриптор безопасности журнала приложений настраивается с помощью следующего значения реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Дескриптор безопасности системного журнала настраивается с помощью HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD .

Дескриптор безопасности для каждого журнала задан с помощью синтаксиса SDDL. Дополнительные сведения о синтаксис SDDL см. в разделе «Platform SDK» или в статье, упомянутой в разделе «Ссылки» этой статьи.

Чтобы создать строку SDDL, обратите внимание, что существует три отдельных права, относящихся к журналам событий: чтение, запись и очистка. Эти права соответствуют следующим битам в поле прав доступа строки ACE:

Ниже приводится пример SDDL, в нем показана строка SDDL по умолчанию для журнала приложений. Права доступа (в hexadecimal) имеют полужирный шрифт для иллюстрации:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;;I U)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Например, первый ACE отказано анонимным пользователям в чтении, записи и очистке доступа к журналу. Шестой ACE позволяет интерактивным пользователям читать и записывать данные в журнал.

Изменение локальной политики, чтобы разрешить настройку безопасности журналов событий

С архивализуйте файл %WinDir%\Inf\Sceregvl.inf в известном расположении.

Откройте %WinDir%\Inf\Sceregvl.inf в Блокноте.

Прокрутите файл до середины и поместите указатель непосредственно перед [Strings].

Вставьте следующие строки:

Прокрутите файл до конца и вставьте следующие строки:

AppLogSD=»Журнал событий: указание безопасности журнала приложений в синтаксис языка определения дескриптора безопасности (SDDL) »
SysLogSD=»Журнал событий: указание безопасности системного журнала в синтаксис языка определения дескриптора безопасности (SDDL) «

Сохраните и закроем файл.

Выберите «Начните», выберите «Выполнить», введите regsvr32 scecli.dll в поле «Открыть» и нажмите ввод.

В диалоговом окне DllRegisterServer scecli.dll успешного выбора, выберите «ОК».

Использование локальной групповой политики компьютера для обеспечения безопасности приложений и системных журналов

1. Выберите «Начните»,выберите «Выполнить», введите gpedit.msc и выберите «ОК».
2. В редакторе групповой политики разбейте «Параметры Windows»,«Параметры безопасности»,«Локальные политики» и «Параметры безопасности».
3. Дважды щелкните журнал событий: SDDL журнала приложений, введите строку SDDL, которая будет нужна для безопасности журнала, а затем нажмите кнопку «ОК».
4. Дважды щелкните журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку «ОК».

Использование групповой политики для установки безопасности приложений и системных журналов для домена, сайта или подразделения в Active Directory

Чтобы просмотреть параметры групповой политики, описанные в этой статье в редакторе групповой политики, сначала выполните следующие действия, а затем перейдите к разделу «Использование групповой политики для настройки безопасности приложений и системных журналов»:

Используйте текстовый редактор, например Блокнот, чтобы открыть Sceregvl.inf в папке %Windir%\Inf.

Добавьте следующие строки в раздел [Регистрация значений реестра]:

MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

Добавьте следующие строки в раздел [Strings]:

AppCustomSD=»Eventlog: дескриптор безопасности для журнала событий приложения»
SecCustomSD=»Eventlog: дескриптор безопасности для журнала событий безопасности»
SysCustomSD=»Eventlog: дескриптор безопасности для системного журнала событий»
DSCustomSD=»Eventlog: дескриптор безопасности для журнала событий службы каталогов»
DNSCustomSD=»Eventlog: дескриптор безопасности для журнала событий DNS Server»
FRSCustomSD=»Eventlog: дескриптор безопасности для журнала событий службы репликации файлов»

Сохраните изменения, внесенные в файл Sceregvl.inf, а затем запустите regsvr32 scecli.dll команду.

Запустите Gpedit.msc и дважды щелкните следующие ветви, чтобы развернуть их:

Конфигурация компьютера
Параметры Windows
Параметры безопасности
Локальные политики
Параметры безопасности

Чтобы найти новые параметры eventlog, перейдите на правую панель.

Использование групповой политики для обеспечения безопасности приложений и системных журналов

В оснастке «Active Directory — сайты и службы» или оснастке «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши объект, для которого необходимо установить политику, а затем выберите «Свойства».

Выберите вкладку «Групповая политика».

Если необходимо создать новую политику, выберите «Создать» и определите имя политики. В противном случае перейдите к шагу 5.

Выберите политику, которую нужно, а затем выберите «Изменить».

Появится оснастка MMC «Локализованная групповая политика».

Раз развернуть конфигурацию компьютера, развернуть параметры Windows, развернуть параметры безопасности, развернуть локальные политики, а затем выбрать параметры безопасности.

Дважды щелкните журнал событий: SDDL журнала приложений, введите строку SDDL, которая будет нужна для безопасности журнала, а затем нажмите кнопку «ОК».

Дважды щелкните журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку «ОК».

Ссылки

Дополнительные сведения о синтаксис SDDL и о том, как создать строку SDDL, см. в формате строки дескриптора безопасности.

Расширенный анализ применения групповых политик на клиентских машинах. Включение отладочного журнала службы Group Policy Client Service (GPSVC) на Windows 7, 8, 10/Windows Server 2008 R2, 2012 R2

Когда появляется необходимость в анализе применения групповых политик в системе, то в Windows 7 (и в версиях выше) просмотреть большинство событий, относящихся к процессу применения групповых политик (GPO), можно в журнале событий Event Viewer (Просмотр событий) в разделе Applications and Services Logs (Журнал приложений и служб) – Microsoft – Windows – Group Policy – Operational

Для более детального анализа применения групповых политик, можно включить отладочный журнал службы Group Policy Client Service (GPSVC). С помощью отладочного журнала можно отследить порядок и время применения групповых политик на целевой машине, найти политики из-за которых компьютер долго загружается и решить другие проблемы с применением групповых политик (GPO).

Включить ведение отладочного журнала Group Policy Client Service, можно через реестр. Создаем в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics (Если ветка Diagnostics отсутствует, то создаем ее вручную), ключ Dword с именем GPSvcDebugLevel и значением 00030002.

Либо в командной строке с правами администратора выполняем команду:

Устранение неполадок групповой политики с помощью журналов событий

Посетителей: 26699 | Просмотров: 39262 (сегодня 0) Шрифт:

Понимание того, каким образом следует производить диагностику и устранять неполадки групповой политики, является очень важным вопросом поддержания корпоративных стандартов. Безопасность и управляемость сетей, а также снижение стоимости их эксплуатации во многом зависят от надежной работы групповой политики. Иногда ИТ-администраторам необходимо определить причину, по которой групповая политика не была применена для того или иного пользователя или компьютера. Понимание того, где следует искать всю необходимую информацию и как ею пользоваться, может превратить возможные часы простоя системы лишь в небольшую временную задержку.

В этом руководстве Вы ознакомитесь с главными принципами устранения неполадок групповой политики Windows Vista и узнаете следующее:

Как находить новые сведения об устранении неполадок.

Как с помощью программы просмотра событий выбирать только определенные сведения о групповой политике.

Как работать с данными данные журналов событий и интерпретировать их.

Как использовать правильные методы нахождения точек сбоя.

Предварительные условия

Это руководство рассчитано на ИТ-специалистов, обладающих базовыми знаниями о механизмах работы групповой политики. Кроме того, Вы должны иметь ясное представление о процессе развертывания, настройки, использования и управления групповой политикой и ее сопутствующими компонентами в Вашей организации.

Усовершенствованный журнал событий групповой политики

Windows Vista предоставляет в Ваше распоряжение новую, централизованную систему регистрации событий, а также существенно переработанную программу просмотра событий. Такие функции, как поиск в нескольких журналах событий, интеграция с планировщиком задач и настраиваемый способ отображения результатов поиска делают программу Просмотр событий идеальным инструментом для отслеживания состояний системы и групповой политики.

Более ранние версии групповой политики использовали имя источника события «Userenv». В предыдущих версиях ОС Windows это же имя использовалось и другими компонентами системы, вследствие чего было трудно выделить события групповой политики из общего набора событий данного источника. Кроме того, содержащаяся в журнале событий диагностическая информация не была достаточно полезной.

В операционной системе Windows Vista вся информация о событиях групповой политики записывается в журнал программы Просмотр событий, а именем источника события является «Group Policy». Это упрощает поиск событий групповой политики. Еще одним усовершенствованием является более детальная информация о каждом событии. Эта информация включает в себя подробное описание события, возможные причины возникновения, а также рекомендации по дальнейшим действиям. События групповой политики Вы можете найти в журнале системных событий, а также в операционном журнале групповой политики.

Запуск программы просмотра событий

Журнал системных событий

Журнал системных событий используется для просмотра событий, зарегистрированных ОС Windows и ее службами. Все события подразделяются на три категории: Ошибка, Предупреждение и Сведения. События управления службы групповой политики записываются в журнал системных событий и помогают Вам определить состояние обработки групповой политики. В предыдущих версиях ОС Windows эти события записывались в журнал приложений.

Для запуска программы просмотра событий выполните следующие действия:

Откройте меню Пуск.

Выберите пункт Панель управления.

Перейдите по ссылке Система и ее обслуживание.

Перейдите по ссылке Администрирование.

Дважды щелкните значок Просмотр событий.

Операционный журнал групповой политики

Операционный журнал групповой политики позволяет Вам увидеть работу службы групповой политики, производимую до и во время обработки групповой политики. Предыдущие версии Windows предоставляли подобную функциональность, используя регистрацию событий Userenv. Тем не менее, другие компоненты системы также записывали события в этот журнал, тем самым делая его непригодным для выявления событий групповой политики. Кроме того, информация в файлах этого журнала была неоднозначной, запутанной и требовала от ИТ-специалиста достаточно хорошего понимания принципов работы групповой политики. Операционный журнал групповой политики в Windows Vista заменяет журнал событий «Userenv» и, в отличие от своего предшественника, предоставляет всестороннее, детальное описание события.

Для просмотра операционного журнала групповой политики выполните следующие действия:

Запустите программу Просмотр событий.

Раскройте узел Журналы приложений и служб — Microsoft — Windows — Group Policy.

Откройте журнал Operational.

Устранение неполадок групповой политики с помощью журналов событий

Использование программы просмотра событий

Вы можете использовать программу Просмотр событий для локализации причин большинства неисправностей в работе групповой политики. Программа Просмотр событий, входящая в состав Windows Vista, обладает новым пользовательским интерфейсом. Вам следует хорошо ознакомиться с новым интерфейсом и запомнить, где размещается информация, относящаяся к обработке групповой политики. Ниже перечислены элементы интерфейса просмотрщика событий, содержащие всю информацию, необходимую для диагностирования работы групповой политики.

Рисунок 1 – Вид вкладки «Общие» в программе просмотра событий

Описание. Содержит текст, описывающий произошедшее событие. События групповой политики обычно содержат описание события, информацию о возможных причинах его возникновения, а также возможные варианты дальнейших действий.

Подача. Название программного обеспечения, зарегистрировавшего событие. Для событий групповой политики это поле всегда имеет значение «GroupPolicy».

Код события. Отображает цифровой код (ID) типа зарегистрированного события. Эти коды используются для событий управления в журнале системных событий и в операционном журнале групповой политики. Дополнительную информацию об отдельных событиях групповой политики и их кодах Вы можете найти в приложениях в конце этого документа.

Уровень. Определяет степень важности события. Для событий групповой политики используются следующие уровни: Ошибка, Предупреждение и Сведения.

Пользователь. Имя учетной записи пользователя, в контексте которой произошло событие. Для регистрации событий обработки групповой политики компьютера используется имя SYSTEM. Для регистрации событий обработки групповой политики пользователя используется имя соответствующей учетной записи пользователя.

Дата. Дата и локальное время записи события системой регистрации событий. В ОС Windows Vista имеется возможность довольно частого обновления групповой политики. Поэтому при диагностировании групповой политики убедитесь, что время регистрации просматриваемых событий соответствуют времени, в которое возникла проблема.

Компьютер. Имя компьютера, на котором произошло событие.

Подробности. Гиперссылка на веб-узел Microsoft TechNet. Перейдя по этой ссылке, Вы сможете получить информацию о событии и возможных причинах его возникновения, а также рекомендации по решению возникшей проблемы в случае, если событие имеет уровень Предупреждение или Ошибка.

Система регистрации событий ОС Windows Vista записывает каждое событие, используя язык XML. Это позволяет службе групповой политики фиксировать дополнительную информацию о каждом событии. Данная информация может оказаться полезной при диагностировании работы групповой политики, и для ее просмотра Вам необходимо воспользоваться вкладкой Подробности. На этой вкладке существует два режима отображения информации: Режим XML и Понятное представление. В режиме XML дополнительная информация о событии отображается в виде сложного для восприятия XML-текста. В режиме Понятное представление эта же самая информация наглядно отображается в виде иерархической структуры. Для просмотра дополнительной информации о событии используется именно этот режим.

Категории System и EventData

В режиме Понятное представление вся информация разделена на две категории: System и EventData. Служба групповой политики записывает информацию в обе из этих категорий. Ниже описываются важные параметры, которые используются при диагностировании работы групповой политики.

Рисунок 2 – Вид вкладки «Подробности» в программе просмотра событий

Параметр ActivityID содержит идентификатор операции групповой политики. Служба групповой политики создает уникальный код ActivityID каждый раз, когда обновляется групповая политика. Например, в случае, если групповая политика обрабатывается во время загрузки компьютера, служба групповой политики назначает этому экземпляру обработки групповой политики код ActivityID. В дальнейшем все события, зарегистрированные во время работы этого экземпляра, используют тот же идентификатор ActivityID до тех пор, пока обработка групповой политики не будет завершена. Обработка считается завершенной, когда процесс заканчивается успешно либо с ошибками. Групповая политика пользователя обрабатывается при входе пользователя в систему. При этом экземпляру обработки групповой политики пользователя снова назначается уникальный идентификатор ActivityID, который используется до окончания процесса обработки политики. Описанный механизм выполняется для каждого нового экземпляра обработки групповой политики, создаваемого как при автоматическом, так и при принудительном обновлении политики. Идентификатор операции ActivityID отображается для всех событий групповой политики.

Этот параметр имеет то же значение, что и параметр ActivityID. Служба групповой политики использует это значение для идентификации экземпляра обработки групповой политики. Параметр PolicyActivityID отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Этот параметр содержит имя участника безопасности – имя компьютера, если применяется политика компьютера, или имя пользователя, если применяется политика пользователя. Имя участника безопасности отображается в формате «имя_домена\имя_компьютера» или «имя_домена\имя_пользователя». Параметр PrincipalSamName отображается для событий запуска групповой политики (коды событий 4000-4007), событий получения информации о следующем экземпляре обработки групповой политики (код 5315), событий завершения групповой политики (коды 8000-8007), а также для сценариев событий запуска и завершения (коды событий 4018 и 5018).

Если компьютер является членом домена, параметр IsDomainJoined имеет значение «true». В противном случае этот параметр имеет значение «false». Параметр IsDomainJoined отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Если параметры групповой политики применяются в фоновом режиме, параметр IsBackgoundProcessing имеет значение «true». В остальных случаях этот параметр имеет значение «false». Если значением параметра IsBackgoundProcessing является «false», и при этом параметр IsAsyncProcessing также имеет значение «false», то параметры групповой политики применяются синхронно в основном режиме. Параметр IsBackgoundProcessing отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Если параметры групповой политики применяются асинхронно в фоновом режиме, параметр IsAsyncProcessing имеет значение «true». В остальных случаях этот параметр имеет значение «false». Если значением параметра IsAsyncProcessing является «false», и при этом параметр IsBackgoundProcessing также имеет значение «false», то параметры групповой политики применяются синхронно в основном режиме. Параметр IsAsyncProcessing отображается для всех событий запуска групповой политики (коды событий 4000-4007).

Значение параметра PolicyApplicationMode указывает на тип обработки групповой политики. Этот параметр может принимать три значения:

Обработка в фоновом режиме: в этом режиме происходит обработка вторичного экземпляра групповой политики. Обработка в фоновом режиме происходит при обновлении групповой политики. Например, обновление групповой политики происходит каждые 90 минут.

Синхронная обработка в основном режиме: в этом режиме обрабатываются экземпляры групповой политики, создающиеся при загрузке компьютера и при входе пользователя в систему. Синхронная обработка в основном режиме происходит в случаях, когда обработка политики компьютера должна завершиться прежде, чем будет отображено диалоговое окно входа в систему, а также тогда, когда обработка политики пользователя во время его входа в систему должна завершиться прежде, чем пользователь увидит свой рабочий стол.

Асинхронная обработка в основном режиме: в этом режиме обрабатываются экземпляры групповой политики, создающиеся при загрузке компьютера и при входе пользователя в систему. Однако в случае асинхронной обработки Windows отображает диалоговое окно входа в систему, не дожидаясь завершения обработки политики компьютера. Кроме того Windows отображает рабочий стол пользователя, также не дожидаясь завершения обработки политики пользователя.

Параметр PolicyProcessingMode используется для того, чтобы определить, выполняется ли обработка замыкания на себя, или нет. Также этот параметр используется для определения того, выполняется ли замыкание на себя в режиме замены или в режиме объединения.

Нормальный режим: замыкание на себя не выполняется.

Замыкание на себя в режиме объединения: выполняется замыкание на себя, при этом служба групповой политики объединяет параметры пользователя, областью действия которых является пользователь, и параметры пользователя, областью действия которых является компьютер.

Замыкание на себя в режиме замены: выполняется замыкание на себя, при этом служба групповой политики замещает параметры пользователя, областью действия которых является пользователь, параметрами пользователя, областью действия которых является компьютер.

Параметр ProcessingTimeInMilliseconds используется для определения интервала времени, выраженного в миллисекундах, за который было завершено выполнение операции в описываемом событии.

Примечание

1 миллисекунда – это 1/1000 секунды. Для того чтобы определить количество прошедших секунд, разделите значение параметра ProcessingTimeInMilliseconds на 1000. Например, значение параметра ProcessingTimeInMilliseconds 12’747 эквивалентно 12,74 секундам.

Значением параметра DCName является имя контроллера домена, который используется службой групповой политики для взаимодействия со службой каталогов Active Directory.

EventData\ErrorCode и EventData\ErrorDescription

Эти два параметра отображаются для событий, имеющих статус Ошибка. Параметр ErrorCode содержит десятичный код, описывающий проблему, приведшую к возникновению события. Параметр ErrorDescription содержит краткое описание возникшей проблемы.

Усовершенствования службы групповой политики сделали процесс диагностирования неполадок более систематизированным по сравнению с предыдущими операционными системами. Если Вы столкнулись с неполадками групповой политики в Windows Vista, начните работу по их устранению с выполнения следующих шагов.

Использование журнала системных событий для устранения неполадок групповой политики

Начните работу по устранению неполадок с использования журнала системных событий. Служба групповой политики записывает события управления в журнал системных событий. Статус событий службы групповой политики имеет следующие уровни:

Сведения: служба групповой политики работает правильно.

Предупреждение: служба групповой политики работает правильно, но в работе других зависимых служб могли произойти ошибки.

Ошибка: в работе службы групповой политики произошла ошибка.

Если Вы столкнулись с такими событиями, прочтите их описания. В большинстве случаев описание предоставляет Вам информацию о событии, о причинах, которые могли привести к наступлению этого события, а также предложения по решению проблемы.

Ссылка Подробности на вкладке Общие. Если Вам необходима дополнительная информация по устранению проблемы, щелкните ссылку Подробности на вкладке Общие. Эта ссылка ведет на веб-узел Microsoft TechNet, содержащий информацию о данном событии. Тут же Вы можете получить основную информацию, которая может помочь в диагностировании и решении проблемы.

Операционный журнал групповой политики. Правильная работы службы групповой политики также зависит и от других компонентов системы. Часто проблемы в работе зависимых компонентов отображаются в журнале системных событий как события групповой политики. Такие ситуации требуют рассмотрения последовательности применения политики компьютера или пользователя с использованием операционного журнала групповой политики. Используйте для этого процедуры, описанные в следующем разделе «Устранение неполадок с использованием операционного журнала групповой политики».

Устранение неполадок с использованием операционного журнала групповой политики

Определение экземпляра обработки групповой политики

Перед просмотром операционного журнала групповой политики Вы должны определить экземпляр обработки групповой политики, в работе которого возникла ошибка.

Определение экземпляра обработки групповой политики

Для определения экземпляра обработки групповой политики выполните следующие действия:

Запустите программу Просмотр событий.

Раскройте узел Просмотр событий (Локальный) — Журналы Windows и выберите журнал Система.

Дважды щелкните на диагностируемом событии со статусом Ошибка или Предупреждение.

Перейдите на вкладку Подробности и выберите режим просмотра Понятное представление. Раскройте узел System.

В раскрывшемся списке найдите параметр ActivityID. Позже Вы будете использовать значение этого параметра (без скобок) в Вашем запросе. Скопируйте это значение в программу Блокнот и нажмите кнопку Закрыть.

Создание настраиваемого представления экземпляра групповой политики

Часто на компьютере одновременно выполняются или обрабатываются несколько экземпляров групповой политики. Например, это происходит на серверах терминалов с запущенными службами терминалов. По этой причине важно выделить в операционном журнале групповой политики в отдельную группу все события, относящиеся к определенному экземпляру групповой политики, с которым Вы работаете.

В программе Просмотр событий выполните следующий запрос, с помощью которого создается настраиваемое представление операционного журнала групповой политики для определенного экземпляра обработки групповой политики.

Для создания настраиваемого представления экземпляра групповой политики выполните следующие действия:

Запустите программу Просмотр событий.

Правой кнопкой мыши щелкните на узле Настраиваемые представления и в контекстном меню выберите команду Создать настраиваемое представление.

Перейдите на вкладку XML и установите флажок Изменить запрос вручную. Вы увидите диалоговое окно с сообщением о том, что если Вы выберете изменение запроса вручную, то в дальнейшем не сможете изменять запрос с помощью элементов управления вкладки Фильтр. Нажмите кнопку Да.

Скопируйте следующий текст в буфер обмена и вставьте его в окне запроса программы Просмотр событий:

Скопируйте в буфер обмена идентификатор операции ActivityID, который Вы записали во время выполнения процедуры «Определение экземпляра обработки групповой политики». В окне запроса программы Просмотр событий выделите текст «ВСТАВЬТЕ СЮДА ИДЕНТИФИКАТОР ОПЕРАЦИИ» и замените его содержимым буфера обмена, нажав комбинацию клавиш CTRL+V.

Примечание

Убедитесь, что Вы не затерли скобки (< >), в которые должен быть заключен идентификатор операции. Эти скобки должны присутствовать для правильного выполнения запроса.

В диалоговом окне Сохранить фильтр в настраиваемое представление введите имя и описание создаваемого представления и нажмите кнопку OK.

Созданное представление будет отображаться под заданным именем в узле Настраиваемые представления. Щелкните на имени созданного представления для отображения всех его событий в окне просмотра событий.

Важно

Помните о том, что служба групповой политики назначает уникальный идентификатор операции каждому экземпляру обработки групповой политики. Например, при обработке политики пользователя во время его входа в систему, экземпляру обработки назначается уникальный код ActivityID. При обновлении групповой политики, экземпляру обработки, отвечающему за это обновление, назначается другой уникальный код ActivityID.

Операционный журнал групповой политики содержит диапазоны числовых кодов, относящихся к определенным событиям. В следующей сводной таблице перечислены все диапазоны кодов событий и их описания.

Диапазон кодов событий

События запуска групповой политики. Эти события с уровнем Сведения регистрируются в журнале событий в момент начала обработки экземпляра групповой политики.

События запуска компонентов. Эти события с уровнем Сведения регистрируются в журнале событий в тот момент, когда компонент обработки групповой политики запускает задачу, описанную в событии.

События успешного завершения работы компонентов. Эти события с уровнем Сведения регистрируются в журнале событий в тот момент, когда компонент обработки групповой политики успешно завершает выполнение задачи, описанной в событии.

Информационные события. Эти события с уровнем Сведения регистрируются в журнале событий на протяжении всего процесса обработки экземпляра групповой политики и предоставляют дополнительную информацию о текущем экземпляре.

Предупреждения групповой политики. Эти события с уровнем Предупреждение регистрируются в журнале событий, если обработка экземпляра групповой политики завершается с ошибками.

Предупреждения компонентов. Эти события с уровнем Предупреждение регистрируются в журнале событий, если компонент обработки групповой политики завершает выполнение задачи, описанной в событии, с ошибками.

Информационные предупреждения. Эти события с уровнем Предупреждение регистрируются в журнале событий и предоставляют дополнительную информацию о возможном возникновении ошибок в процессе работы описываемой задачи.

Ошибки групповой политики. Эти события с уровнем Ошибка регистрируются в журнале событий, если обработка экземпляра групповой политики оказывается незавершенной.

Ошибки компонентов. Эти события с уровнем Ошибка регистрируются в журнале событий, если компонент обработки групповой политики не завершает выполнение задачи, описанной в событии.

Информационные сообщения об ошибках. Эти события с уровнем Ошибка регистрируются в журнале событий и предоставляют дополнительную информацию об ошибках, возникших в процессе работы описываемой задачи.

События успешного завершения обработки групповой политики. Эти события с уровнем Сведения регистрируются в журнале событий в момент успешного завершения обработки экземпляра групповой политики.

Большинство событий регистрируются в операционном журнале групповой политики попарно. Каждому событию запуска сопоставлено регистрируемое в журнале событие завершения работы. События завершения могут содержать информацию об успешном завершении работы, предупреждения или сообщения об ошибках. Обычно последние две цифры кодов этих событий одинаковы. Например, событие с кодом 4017 говорит о том, что компонент групповой политики запустил определенную задачу. Если эта задача завершилась успешно, в журнале регистрируется событие с кодом 5017. Если задача завершилась с ошибками, либо ее запуск не удался, то в журнале регистрируется событие с кодом 6017 или 7017 соответственно. Та же схема нумерации используется для сообщений из диапазона 8000-8007. Эти сведения помогут Вам быстро выявлять в операционном журнале групповой политики предупреждения и сообщения об ошибках.