AD架構下，網域電腦登入時會出現"這台電腦的安全性記錄已滿，只有系統管理員可以解決此問題"

windows ad 網域 2003 logs 無法登入安全性記錄

sniperegg 2010-01-12 09:01:57 ‧ 34664 瀏覽

最近公司的數台電腦陸陸續續出現上述訊息"這台電腦的安全性紀錄已滿，只有系統管理員可以解決此問題"，必須手動清除紀錄後使用者才能登入。
想請問有什麼方法可以關閉此一通知訊息？或者可讓使用者有權限去清理紀錄檔？
若去調整系統記錄檔的設定值有用嗎？例如覆蓋幾天後的檔案、將記錄檔大小調大等等。

sniperegg iT邦新手 2 級 ‧ 2010-01-12 10:56:17 檢舉

個人猜想，因為預設值為自動覆蓋七天前發生的事件，但會不會是七天內的紀錄檔已經超過系統預設的大小（512kb），導致出現此訊息。
如果是這樣，是否調整系統記錄檔大小就可以解決呢？

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

Ken(Bigcandy)

iT邦大師 1 級 ‧ 2010-01-12 10:05:23

最佳解答

事件檢視器-內容-複寫
有：
複寫X天
檔案大小

這是預設值，難道你的AD POLICY有問題！？

tom6507 iT邦大師 1 級 ‧ 2010-01-12 10:46:39 檢舉

我覺得重點是要去看看為何記錄檔會爆增，導致預設的空間不夠用，或許是病毒、駭客...等等的。

sniperegg iT邦新手 2 級 ‧ 2010-01-12 10:50:58 檢舉

預設值都沒有變，Policy也沒有特別去設定，但就是不定時會有幾台電腦出現此訊息，然後必須手動清除才能登入。
想請問還有可能是哪裡出問題？會跟權限有關嗎？

marshuang

iT邦新手 1 級 ‧ 2010-01-12 11:13:40

有幾種可能作法
1.官方:調整系統記錄檔的設定值,循環記錄,調大容量,但若是遠端桌面登入者仍會有記錄已滿之訊息.
http://support.microsoft.com/default.aspx/kb/867860/zh-tw
2.寫一刪除事件記錄檔程式或寫一Runas夠權限刪事件記錄檔的
http://msdn.microsoft.com/zh-tw/library/twdecbsx(VS.80).aspx
http://msdn.microsoft.com/zh-tw/library/d3wah3h5(VS.80).aspx
http://bbs.cnns.net/viewthread.php?action=printable&tid=16141
亦可仿造微軟內建eventquery.vbs作法,於system32內.
cscript eventquery.vbs /?
3.變更事件記錄檔位置至網路磁碟機,統一由管理者當使用者離線時刪除
[HKLM]\system\CurrentControlSet\Services\Eventlog
4.使用"特殊"工具,如elsave,可遠端清除事件檔
http://www.yiii.net/scripts/isapi_srun.dll/app/club/view.jsp?Information_Id=I00013723