iT邦幫忙

0

AD架構下,網域電腦登入時會出現"這台電腦的安全性記錄已滿,只有系統管理員可以解決此問題"

最近公司的數台電腦陸陸續續出現上述訊息"這台電腦的安全性紀錄已滿,只有系統管理員可以解決此問題",必須手動清除紀錄後使用者才能登入。
想請問有什麼方法可以關閉此一通知訊息?或者可讓使用者有權限去清理紀錄檔?
若去調整系統記錄檔的設定值有用嗎?例如覆蓋幾天後的檔案、將記錄檔大小調大等等。

sniperegg iT邦新手 2 級 ‧ 2010-01-12 10:56:17 檢舉
個人猜想,因為預設值為自動覆蓋七天前發生的事件,但會不會是七天內的紀錄檔已經超過系統預設的大小(512kb),導致出現此訊息。
如果是這樣,是否調整系統記錄檔大小就可以解決呢?
16
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2010-01-12 10:05:23
最佳解答

事件檢視器-內容-複寫
有:
複寫X天
檔案大小

這是預設值,難道你的AD POLICY有問題!?

tom6507 iT邦大師 1 級 ‧ 2010-01-12 10:46:39 檢舉

我覺得重點是要去看看為何記錄檔會爆增,導致預設的空間不夠用,或許是病毒、駭客...等等的。

sniperegg iT邦新手 2 級 ‧ 2010-01-12 10:50:58 檢舉

預設值都沒有變,Policy也沒有特別去設定,但就是不定時會有幾台電腦出現此訊息,然後必須手動清除才能登入。
想請問還有可能是哪裡出問題?會跟權限有關嗎?

18
marshuang
iT邦新手 1 級 ‧ 2010-01-12 11:13:40

有幾種可能作法
1.官方:調整系統記錄檔的設定值,循環記錄,調大容量,但若是遠端桌面登入者仍會有記錄已滿之訊息.
http://support.microsoft.com/default.aspx/kb/867860/zh-tw
2.寫一刪除事件記錄檔程式或寫一Runas夠權限刪事件記錄檔的
http://msdn.microsoft.com/zh-tw/library/twdecbsx(VS.80).aspx
http://msdn.microsoft.com/zh-tw/library/d3wah3h5(VS.80).aspx
http://bbs.cnns.net/viewthread.php?action=printable&tid=16141
亦可仿造微軟內建eventquery.vbs作法,於system32內.
cscript eventquery.vbs /?
3.變更事件記錄檔位置至網路磁碟機,統一由管理者當使用者離線時刪除
[HKLM]\system\CurrentControlSet\Services\Eventlog
4.使用"特殊"工具,如elsave,可遠端清除事件檔
http://www.yiii.net/scripts/isapi\_srun.dll/app/club/view.jsp?Information\_Id=I00013723

PS.事件檢視器的"說明"中很清楚地記載:
"您必須以系統管理員或 Administrators 群組成員的身份登入,以清除事件日誌。"

sniperegg iT邦新手 2 級 ‧ 2010-01-12 11:16:38 檢舉

瞭解,我可能會先嘗試看看調整記錄檔大小來解決此問題。
感謝您。

14
josephtsai
iT邦新手 4 級 ‧ 2010-01-13 08:12:55

建議看一下 用戶端電腦的日期時間, 大部份安全性記錄已滿, 如果不是有外人持續嘗試這台電腦, 就是時間錯誤無法登入AD網域.

myfunly iT邦新手 5 級 ‧ 2010-01-13 14:57:44 檢舉

是呀!!去看一下安全記錄,到第在記錄什麼會不會記錄太多又剛好有,那幾台又是多人共同使用,or 和樓上的說也許中毒了唷!!如果不是中毒在檢示一下GPO吧!!一定那裡有設定到唷!

我要發表回答

立即登入回答