Windows 2008 Eventlogs最佳实践和server \ Users权限

我有几个有关Windows事件日志和服务器2008年最佳实践的权限以及2008年用户的权限的问题。
我试图将EVTLogs写入另一个驱动器而不是默认驱动器。 当我将日志redirect到另一个驱动器(通过rt-click,属性,更改path)而不是默认的C:时,它们将无法写入,除非server \ users有权访问日志正在写入的文件夹。 具体来说,用户具有以下权限:创build文件/写入数据; 创build文件夹/追加数据; 遍历文件夹/执行文件; 列出文件夹/读取数据; 阅读属性; 读取扩展属性。

如果此权限不在文件夹上,则即使作为服务器上的pipe理员,文件夹也会在文件夹上显示一个locking图标,EVTLogs将不会写入该文件夹。 在2003年,拥有这些权限的系统似乎能够做到这一点,但在2008年似乎还不够。 那么,究竟用户究竟是什么时候分崩离析,以及在2008年将EVTLogs写入另一个驱动器的最佳做法是什么呢?

在Windows Server 2008中,有一个新的虚拟帐户用于pipe理日志文件。 您将需要在新的日志文件夹上给“NT SERVICE \ eventlog”以下权限:

允许除“删除”,“更改权限”和“取得所有权”以外的所有权限。 将权限应用于“此文件夹,子文件夹和文件”。 “本地服务”应该是日志文件的所有者。