委派控制的帐户可以对客户端的系统日志进行操作吗？在委派控制中，如何赋予被委派的帐户可以清除客户端电脑系统日志的权利？  我试了好多次，就是不行，说无权操作。  或者不是用委派控制来解决？？？

回答：在 Microsoft Windows Server 2003 中，可以自定义计算机上每个事件日志的权限。这在以前版本的 Windows 中是不可能的。您可以为 IT 组的某些成员授予对一个或多个系统事件日志的只读权限。访问控制列表 (ACL) 作为安全描述符定义语言 (SDDL) 字符串，在注册表中每个事件日志的 REG_SZ 值“CustomSD”中存储，如下所示：

HKEY_LOCAL_MACHINE
\System\CurrentControlSet\Services\EventLog\CustomSD Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)

可以编辑此值，然后重新启动计算机，以使新设置生效。

警告：在编辑注册表值时一定要小心，因为注册表编辑器工具中没有“撤销”功能。如果您在使用该工具时进行了错误操作，必须手动进行更正。另外，可能有时您在事件日志上配置的 ACL 没人能够访问。一定要在处理之前充分了解 SDDL 以及每个事件日志上的默认权限。另外，在生产环境中实现任何更改之前一定要进行充分测试。
更多信息请您参考以下文章：
事件日志
http://www.microsoft.com/china/technet/security/guidance/secmod53.mspx#ECG

Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心