Lar*_*rsH 5 windows-server-2008 group-policy user-permissions
我不是一个服务器管理员,但在我必须的时候弄湿我的脚。
现在我正在 Windows 2008 Server 机器上运行一些 COTS 软件。软件安装程序会创建一些用户帐户来运行其进程,然后授予这些用户“作为批处理作业登录”的权利。
每隔一段时间(例如昨天下午 2 点 52 分和今天早上 7 点 50 分),这些权利就会消失。然后软件停止工作。我可以通过使用验证用户权限是否消失
secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS
我有一个脚本,每 30 秒执行一次,并用时间戳记录结果,所以我知道权限何时消失。
我从导出中看到的是,在“良好”状态下,即在我安装软件并且它正常工作后,来自 secedit 导出的 SeBatchLogonRight 行包括由软件创建的用户帐户。但是每隔几个小时(有时更长时间),这些用户帐户就会从该行中删除。使用 GUI 工具可以看到同样的事情Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job:在“良好”状态下,该策略包含所需的用户帐户,而在错误状态下,该策略不包含。
根据上述日志记录脚本和删除用户权限的时间戳,我可以清楚地看到某些 GPO 导致了更改。GPO 操作日志显示在正确的时间处理 GPO。例如:
Starting Registry Extension Processing.
List of applicable GPOs: (Changes were detected.)
Local Group Policy
我已经使用 按需运行 GPO gpupdate /force,并且能够验证这是否导致用户权限被删除。
我们已经查看了本地组策略,直到我们的眼睛交叉,试图找出哪个可能会剥夺这些用户权限以“作为批处理作业登录”。我们没有在这台机器上配置任何我们知道的本地组策略;那么是否有一个默认的本地组策略可能通常会做这样的事情?是否有典型的域策略可以做到这一点?
我一直在与我们的 IT 员工同事一起解决问题,但他们都不是真正的 GPO 专家......他们身兼数职,他们做他们需要做的事情以保持大多数事情的运行。
任何建议将不胜感激!
“策略结果集”工具将在这里帮助您;它位于组策略管理控制台左侧边栏的底部。
将其指向机器,然后在设置选项卡上,您将找到由应用于系统的策略设置的每个项目,以及该设置来自哪个 GPO。
| 归档时间: |
|
| 查看次数: |
10686 次 |
| 最近记录: |