我编写了一个脚本,希望在用户被授予域管理员权限时触发。我无法通过事件查看器触发此事件,因为我们的域控制器在Server Core上运行,并且当您远程连接到事件查看器时,将任务附加到此事件的选项显示为灰色。尝试使用SCHTASKS时,我输入以下内容:
SCHTASKS /Create /TN "Event Monitor" /TR $command /SC ONEVENT /RL Highest /RU $cred.Username /RP $password /EC ScriptEvents /MO *[System/EventID=4728]
我得到的错误是The specified channel could not be found。我无法弄清楚要正确触发XPath所需输入的内容。有人可以帮忙吗?这是活动的内容:
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-54784994-a5ba-3e3b0328c30d}" />
<EventID>4728</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13826</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2019-05-24T12:11:54.847043800Z" />
<EventRecordID>1050228</EventRecordID>
<Correlation />
<Execution ProcessID="552" ThreadID="1580" />
<Channel>Security</Channel>
答案 0 :(得分:0)
对于将来的用户来说,问题在于/ MO开关的格式和/ EC开关的格式。这是我的解决方法:
SCHTASKS /Create /TN "Event Monitor" /TR $command /SC ONEVENT /RL Highest /RU $cred.Username /RP $password /EC Security /MO "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4728]]"