Вопрос: «Войти в систему как пакетное задание», права пользователя удалены каким GPO?


Я не являюсь администратором сервера, но моюсь, когда мне нужно.

Сейчас я запускаю какое-то ПО COTS на машине Windows 2008 Server. Установщик программного обеспечения создает несколько учетных записей пользователей для запуска своих процессов, а затем дает этим пользователям право «регистрироваться в качестве пакетного задания».

Каждый раз так часто (например, вчера в 14:52 и сегодня утром в 7:50) эти права исчезают. Затем программное обеспечение перестает работать. Я могу проверить, что права пользователя ушли, используя

secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS

и у меня есть сценарий, который делает это каждые 30 секунд и записывает результаты с отметкой времени, поэтому я знаю, когда права исчезнут.

Что я вижу из экспорта, так это то, что в «хорошем» состоянии, т. Е. После установки программного обеспечения и его работы корректно, строка для SeBatchLogonRight из экспорта secedit включает в себя учетные записи пользователей, созданные программным обеспечением. Но каждые несколько часов (иногда больше) эти учетные записи пользователей удаляются из этой строки. То же самое можно увидеть с помощью инструмента GUI Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job: в «хорошем» состоянии эта политика включает в себя необходимые учетные записи пользователей, а в плохом состоянии политики нет.

Исходя из вышеупомянутого сценария регистрации и временных меток, с которых удаляются права пользователя, я могу ясно видеть, что некоторые объекты групповой политики вызывают изменение. Операционный журнал GPO показывает, что GPO обрабатывается точно в нужное время. Например.:

Starting Registry Extension Processing. 

List of applicable GPOs: (Changes were detected.) 

Local Group Policy 

Я запускал объекты групповой политики по требованию, используя gpupdate /force, и смог убедиться, что это привело к удалению прав пользователя.

Мы просмотрели политику местных групп, пока наши глаза не пересекаются, пытаясь выяснить, какой из них может лишить эти права пользователя «войти в систему как пакетное задание». Мы не настроили какие-либо локальные групповые политики на этой машине, о которых мы знаем; так есть ли локальная групповая политика по умолчанию, которая обычно может делать такое? Существуют ли типичные политики домена, которые бы это сделали?

Я работаю с коллегами из ИТ-персонала, чтобы устранить эту проблему, но ни один из них не является экспертом по GPO ... Они носят много головных уборов, и они делают то, что им нужно делать, чтобы сохранить большинство вещей.

Любые предложения будут ценны!


5
2018-04-14 19:56


Источник




Ответы:


Инструмент «Результирующий набор политик» поможет вам здесь; это находится в нижней части левой боковой панели в консоли управления групповыми политиками.

Направьте его на машину, затем на вкладке настроек вы найдете каждый элемент, заданный политиками, применяемыми к системе, и с каким объектом групповой политики.


5
2018-04-14 20:05



Создайте новый объект групповой политики, который задает требуемое значение, и привяжите его к подразделению, которое ближе к компьютеру, чем тот, который вы хотите переопределить. До тех пор, пока политика домена по умолчанию не настроена на «принудительный режим», тогда преобладает более конкретная ссылка. - Shane Madden♦
Его не нужно связывать ближе к цели, для которой она должна быть в более высоком приоритете (порядок нижнего канала), чем в политике домена по умолчанию, так что она применяется позднее политики домена по умолчанию. Обе политики могут быть связаны на уровне домена. - joeqwerty
@joeqwerty Справедливо! Мне сложно провести тщательное объяснение наследования GPO в связи с необходимостью краткости (именно поэтому я решил не переходить на приоритет ссылок на один объект, блокирование наследования, ссылки на сайты или то, как работает обработка обратной петли) , Я ценю помощь в том, чтобы указывать материал, имеющий отношение к вопросу, например, возможность связать это с доменом. - Shane Madden♦
@Shane: Gotcha. Объяснение групповой политики и ее обработка могут немного запутаться. - joeqwerty
@LarsH: Чтобы снова перезвонить (не то, что Шейн нуждается в моей помощи), эти настройки обычно не настраиваются в политике домена по умолчанию. Они настроены на «не настроены» при установке AD по умолчанию при создании объектов групповой политики по умолчанию, поэтому маловероятно, что разработчики увидели вашу конкретную проблему раньше, и вряд ли они снова ее увидят. - joeqwerty