すべてのドメインコントローラー、理想的にはGPOを使用するドメインレベルで、イベントログへの読み取りアクセスを許可したいと思います。グループのメンバーが、アプリケーションログ、システムログ、および「ディレクトリサービス」や「ファイルレプリケーションサービス」などの「アプリケーションとサービスのログ」にあるいくつかのログを表示できるようにしたいと考えています。これに取り組むための最良の戦略は何でしょうか?
ほとんどのドメインコントローラーは2008 R2です。
この目的のためだけに組み込みのグループがあります。イベントログリーダー。ログへの読み取りアクセスを許可するグループにユーザーを追加します。あなたは間違いなくGPOを介してこれを行うことができます。 DCにのみ適用する場合は、既定のドメインコントローラーポリシーを変更(または同じレベルで作成)できます。 DCのイベントログを読み取ることができるようにするユーザーでイベントログリーダーグループを更新します。
Server 2003 SP1以降を実行しているかどうかに応じて、これは確実に実現可能です。その場合は、イベントビューアへの特定のアクセスを許可するレジストリ設定を変更し、ユーザーにローカルGPO設定を適用します。
Microsoftにはドキュメント ここ があり、まさにやりたいことを実行するための手順が示されています。