Windows 事件日誌上的權限更改不起作用（GPO 更改）

我正在嘗試向事件日誌**“Microsoft-Windows-CAPI2/Operational”**上的網路服務帳戶（SID S-1-5-20）授予權限（見下圖）。但是，我需要在 1000 多台伺服器上推動這一變化，而且還會有更多。所以我的解決方案必須以某種方式連結到 GPO（出於技術原因，我試圖避免在 GPO 中使用腳本）。

根據 Microsoft 的說明，您必須：

1. 在“ HKLM:\SYSTEM\CurrentControlSet\services\eventlog\custom_log ”中的相關事件日誌項下創建一個名為“CustomSD”的新系統資料庫項
2. 使用以 SSDL 格式定義的適當權限創建字元串“CustomSD”： O:BAG:SYD:(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;; S-1-5-20)
3. 重啟主機並驗證權限

但是，當我重新啟動主機並使用以下命令檢查權限時，我可以看到未應用新權限：

wevtutil get-log "Microsoft-Windows-CAPI2/Operational"  OR
Get-WinEvent -ListLog "Microsoft-Windows-CAPI2/Operational"  | Format-List -Property * 

我感到困惑的是，只有以下與主要事件日誌相關的鍵可用：’ HKLM:\SYSTEM\CurrentControlSet\services\eventlog'

就我而言，我試圖：

• 在“ HKLM:\SYSTEM\CurrentControlSet\services\eventlog\CAPI2 ”中創建一個新的系統資料庫項>> 不起作用

• *在以下路徑“HKLM:\SYSTEM\CurrentControlSet\services\eventlog\application\Microsoft-Windows-CAPI2”*中創建系統資料庫項， 因為存在事件日誌的名稱>>不起作用

所以我的意思是我不明白為什麼權限沒有更新。難道我做錯了什麼 ？我還檢查了以下連結，但它似乎僅適用於 ’ *HKLM:\SYSTEM\CurrentControlSet\services\eventlog'*中可用的事件日誌。

感謝@GregAskew 的出色回答，我能夠通過 GPO 推送事件日誌權限。我的步驟是：

1. 創建一個新的 GPO 並瀏覽到系統資料庫設置（在電腦 > 首選項 > Windows 設置 > 系統資料庫中可用）以更新“ChannelAccess”條目
2. 在欄位值數據中以 SDDL 格式添加適當的權限：
3. 啟用事件日誌 CAPI2（預設禁用）將系統資料庫項“啟用”更新為 1
4. 結果我的 GPO 看起來像這樣：

啟動並應用 GPO 後，您可以通過瀏覽系統資料庫中的以下路徑在目標客戶端上檢查權限的正確應用

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<event log>

引用自：https://serverfault.com/questions/962417