Предоставьте пользователю разрешения на изменение системного времени на контроллере домена Windows Server 2012
Я понимаю, что этот заголовок сразу звучит как плохая идея, поэтому я объясню необходимость в дополнение к описанию проблемы.
Необходимость изменения системного времени
Недавно я настроил систему Windows Server 2012 Essentials для клиента, впервые внедрив структуру на основе домена в офис медицинских услуг, в котором ранее были компьютеры без пароля. Это большое изменение и несколько разрушительное. У них есть 3 рабочих места, 6-8 сотрудников, в зависимости, и некоторый поток людей, проходящих через. Я заменил рабочую станцию, которая является лучшим местом для их бухгалтера для публикации транзакций, и, чтобы сделать это с наименьшей болью, она до сих пор меняла системное время. Чтобы не навязывать новый рабочий процесс, я хотел бы разрешить ей сделать это в течение следующих нескольких месяцев, пока они не покинут систему, которая требует этот рабочий процесс.
В настоящее время только один другой компьютер подключен к домену - другой компьютер работает под управлением Windows XP Home и будет присоединен к домену при его замене. Я полностью понимаю мудрость не менять время контроллера домена, но думаю, что недопущение того, чтобы это было более разрушительным для их бизнеса прямо сейчас. Поскольку они не являются корпоративной средой и представляют собой малый бизнес, пытающийся использовать свои ресурсы, я считаю это довольно безопасным. Не стесняйтесь доказать, что я неправ, если я собираюсь совершить настоящую катастрофу.
Эта проблема
Насколько я понимаю, лучший способ дать бухгалтеру такую возможность - сделать ее частью группы операторов сервера, поскольку у них есть разрешение "Изменить системное время" в групповой политике. Я думал о том, чтобы раздать это разрешение как разовое, но группа "Операторы сервера" казалась подходящей для этого офиса, поскольку людям понадобятся некоторые другие назначенные ему разрешения (перезагрузка и т. Д.).
Проблема в том, что это, похоже, не работает, и я не могу найти никакой документации относительно того, почему. Я подтвердил, что она является членом группы, запустил gpupdate /FORCE, перезагрузил сервер, и она все еще не может изменить время (но моя учетная запись администратора может). Другие разрешения, относящиеся к группе (изменение часового пояса), похоже, работают должным образом, и она может выполнять эти функции. Я также проверил, что операторы серверов имеют такое разрешение в групповой политике для политики контроллеров домена по умолчанию, которая, кажется, применяется. Запрос UAC, запрашивающий учетные данные, продолжает появляться, когда она пытается изменить время.
В результате я предполагаю, что что-то упустил и что-то неправильно применил, что-то в цепочке где-то не установлено по умолчанию, и я предположил, что это так, или что-то запрещает это действие, переопределение оригинального разрешения.
Альтернатива, которую некоторые могут рассмотреть, поскольку я уже говорю о том, чтобы дать ей возможность изменять время, состоит в том, чтобы дать ей дополнительную учетную запись администратора для изменения времени. Но я пока не хочу этого делать, так как считаю, что существует лучший, более безопасный вариант, и одна из причин, по которой я выбрал модель домена в этом офисе, заключалась в том, что они ранее делали неудачный выбор с учетными данными администратора. Я бы очень хотел найти решение или обходной путь, который не дает им больше разрешений, чем им нужно для эффективного выполнения своей работы.
У кого-нибудь есть опыт решения этой проблемы? Является ли группа операторов сервера правильным маршрутом? Спасибо за вашу помощь.
Изменить: Длинный ответ на вопросы ниже. Я понимаю, что это может привести к сбою основных функций. Чаще всего они заходят один раз в начале дня и остаются в системе. Я надеюсь, что это не помешает другим компьютерам. Если это произойдет, мы найдем другой обходной путь, чтобы они лучше понимали ситуацию. Насколько я понимаю, процесс отправки сообщений должен проводиться с той же датой, что и день обслуживания, но бухгалтер работает только через несколько дней в неделю. Мы переходим к системе, которая позволяет ей устанавливать время публикации вместо общесистемного.
Контроллер домена используется как рабочая станция по необходимости. У них нет денег на множество компьютеров, но я думаю, что они получают выгоду от некоторых преимуществ наличия домена и т. Д. Это был тщательно продуманный компромисс, даже если я понимаю, что это хорошо против лучших практик.
1 ответ
Я надеялся, что это умрет на SU, но так как он перенесен сюда, я выскажу свое профессиональное мнение о ситуации.
Если конечный пользователь должен войти на этот сервер, он не должен быть контроллером домена. Период. Неважно, все время ерунда и все остальное, что только усиливает это утверждение. Конечные пользователи не должны входить на серверы, которые не настроены должным образом на терминальных серверах. Ни один сервер не должен произвольно изменять время, когда он является членом домена или контроллера домена. Конечные пользователи не должны иметь прав на выполнение этих действий.
Купите для этого пользователя дешевую рабочую станцию, на которой он сможет запускать это программное обеспечение, или разрешите ему использовать этот сервер, но опустите его, чтобы он не был DC. Дайте им виртуальную машину, в которую они могут включить RDP для запуска этого программного обеспечения. Есть много вариантов. Честно говоря, делай что-нибудь кроме того, что ты делаешь сейчас.
Изменить: Я также укажу, что использование RDP для конечных пользователей для выполнения приложений на сервере без лицензирования Remote Desktop Services (ранее Terminal Services) является нарушением лицензионного соглашения, и вы, скорее всего, не пройдете аудит лицензии и получите штраф от Microsoft они когда-либо узнают. Два сеанса RDP с сервером, которые разрешены для "бесплатного", предназначены для удаленного администрирования сервера, а не для использования его в качестве рабочей станции для повседневной работы.