Nic*_*ick 3 windows domain group-policy windows-server-essentials essentials-2012
我意识到这个标题立即听起来像一个坏主意,所以除了描述问题之外,我还要证明这个必要性。
需要更改系统时间
我最近为客户设置了一个 Windows Server 2012 Essentials 系统,这是第一次在以前拥有无密码计算机的医疗服务办公室实施基于域的结构。这是一个很大的变化,而且有点破坏性。他们有 3 个工作站,6-8 名员工(视情况而定),并且有一些人在流动。我更换的工作站是他们簿记员发布交易的最佳位置,为了不那么痛苦,她一直在更改系统时间,直到现在。为了不强加新的工作流程,我想允许她在接下来的几个月里这样做,直到他们离开需要该工作流程的系统。
目前,只有另一台计算机加入了域 - 另一台计算机运行的是 Windows XP Home,当它被替换时将加入域。我完全理解不改变域控制器时间的智慧,但认为不允许它现在对他们的业务更具破坏性。由于它们不是企业环境并且是试图使用其资源的小型企业,因此我认为它非常安全。如果我要犯下真正的灾难,请随时证明我是错的。
问题
我的理解是,赋予簿记员这种能力的最佳方法是让她成为服务器操作员组的一部分,因为他们在组策略中拥有更改系统时间权限。我曾考虑一次性授予该权限,但 Server Operators 组似乎非常适合该办公室,因为人们需要为其分配一些其他权限(重新启动等)。
问题是,它似乎不起作用,而且我找不到任何关于原因的文档。我已经验证她是该组的成员,运行 gpupdate /FORCE,重新启动服务器,但她仍然无法更改时间(但我的管理员帐户可以)。与组相关的其他权限(更改时区)似乎按预期工作,她可以执行这些功能。我还验证了服务器操作员在默认域控制器策略的组策略中具有该权限,这似乎已应用。当她尝试更改时间时,会继续弹出要求提供凭据的 UAC 提示。
结果,我假设我遗漏了一些东西并且我没有正确应用一些东西,链中某处的某些东西不是默认设置的,我已经假设它是,或者某些东西禁止该操作,覆盖原始权限。
有些人可能会考虑的替代方案,因为我已经在谈论让她能够更改时间,是给她一个辅助管理员帐户来更改时间。但我还不愿意这样做,因为我相信存在更好、更安全的选择,而且我在这个办公室使用域模型的部分原因是因为他们以前在管理员凭据方面做出了糟糕的选择。我非常希望找到一种解决方案或变通方法,该解决方案或解决方法不会给他们提供比有效完成工作所需的更多权限。
有没有人有这个问题的经验?服务器操作员组是否是要采取的正确路线?谢谢你的帮助。
编辑:对以下问题的长期回答。我确实理解它会使基本功能失败。大多数情况下,他们倾向于在一天开始时登录一次并保持登录状态。我希望它不会干扰其他计算机。如果是这样,我们会找到不同的解决方法,让他们更好地了解情况。我对过帐流程的理解是,他们必须与服务当天的日期相同,但簿记员每周只有几天。我们正在过渡到一个系统,让她在发布中而不是在系统范围内设置时间。
出于需要,域控制器被用作工作站。他们没有钱购买大量计算机,但我认为他们受益于拥有域等的一些优势。尽管我理解这与最佳实践相悖,但这是一个仔细考虑的权衡。
我希望这会死在 SU 上,但既然它搬到了这里,我会给你我对这种情况的专业意见。
如果最终用户需要登录此服务器,则它不应是域控制器。时期。别介意整个时间的胡说八道和其他一切,这只会强化这一说法。最终用户不应登录未正确配置终端服务器的服务器。当服务器是域或域控制器的成员时,不应随意更改时间。最终用户不应有权执行这些操作。
为这个用户购买一个便宜的工作站,他们可以在上面运行这个软件,或者让他们使用这个服务器但将它降级,使其不是 DC。给他们一个虚拟机,他们可以通过 RDP 来运行这个软件。有很多选择。除了你现在正在做的事情之外,真的要诚实地做任何事情。
编辑:我还要指出,使用 RDP 让最终用户在没有远程桌面服务(以前称为终端服务)许可的服务器上执行应用程序违反 EULA,您可能无法通过许可证审核并被罚款由微软他们曾经发现。允许“免费”连接到服务器的两个 RDP 会话用于服务器的远程管理,而不是将其用作日常工作的工作站。
| 归档时间: |
|
| 查看次数: |
5389 次 |
| 最近记录: |