RalphT 15 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Moin, ich verwende in einer PS-Datei folgenden Codeschnipsel: Get-WinEvent @{LogName="Security";Id=6273} -MaxEvents 1 | %{([xml]$_.ToXML()).Event.EventData} > C:\TMP\information.txt ; Dieser ließt einen Teil aus der Ereignisanzeige aus. Das funktioniert soweit auch. Jetzt habe ich folgendes Problem: Dieses Script soll auf einem Server laufen. Dort hat ein Nutzer aus der AD lokale Adminrechte. Die benötigt er auch, da für den Zweig Security Adminrechte notwendig sind. Wenn jetzt dieser Nutzer auf dem Server angemeldet ist, ein PS-Fenster ohne erhöhte Rechte öffnet, dann wird die Ereignisanzeige nicht ausgelesen. Mit erhöhten Rechten funktioniert das. Dieser Nutzer ist in der lokale Gruppe der Administratoren eingetragen. Kann man das Script auch so abändern, dass man kein Fenster mit erhöhten rechten öffnen muss? Hintergrund: Dieses Script soll mit diesen Nutzerdaten im Taskplaner ausgeführt werden. Zitieren
testperson 1.840 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Hi, vor 18 Minuten schrieb RalphT: Dieses Script soll mit diesen Nutzerdaten im Taskplaner ausgeführt werden. dann setze im Taskplaner doch einfach den Haken "Mit erhöhten Rechten ausführen". Gruß Jan 1 Zitieren
Dukel 468 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Was ist denn dein Ziel? Eventlog Monitoring würde ich nicht mit einem Powershell Script als geplanten Task laufen lassen. Zitieren
cj_berlin 1.493 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Moin, ich würde es durchaus als geplanten Task laufen lassen, den Task jedoch als SYSTEM einplanen und nicht an Zeit, sondern an die Event Id 6273 binden. Dann kannst Du dich austoben - email verschicken, Textdatei schreiben, was auch immer. Zitieren
RalphT 15 Geschrieben vor 58 Minuten Autor Melden Geschrieben vor 58 Minuten vor 26 Minuten schrieb testperson: dann setze im Taskplaner doch einfach den Haken "Mit erhöhten Rechten ausführen". Hatte ich schon gesetzt. Aber ich habe auf dem System 2 User. Hatte den einen nicht in der Adminruppe. Habe ich in dem ganzen Gehampel übersehen. Läuft jetzt aber. Zitat ich würde es durchaus als geplanten Task laufen lassen, den Task jedoch als SYSTEM einplanen und nicht an Zeit, sondern an die Event Id 6273 binden. Dann kannst Du dich austoben - email verschicken, Textdatei schreiben, was auch immer. Ja genau, so habe ich das auch. Hatte mich oben nicht klar genug ausgedrückt. So praktiziere ich das auf den anderen Servern auch. Es werden dann immer Mails verschickt. Das funktioniert sehr gut. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.