服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用户权限分配策略与本地组成员之间的关系是什么?
Intereting Posts
后端抓取失败 – varnish不会获取drupal后端 如何理想地将图像存储在Amazon S3上 克朗德抵消五分钟的时间表 更改Linuxnetworking设置 如何用FastCGI和Ruby设置Apache? Graphite中带有asPercent的多个通配符 当请求没有时,IIS连接如何增加? 审查一个crontab脚本来添加时间戳到每分钟运行; 有什么build议么? 在Rackspace Cloud服务器上安装cPanel 备份的备份。 需要咨询 linux内核选项将sata磁盘设置为udma / 133 1.5gbps 如何提高SQL Server镜像性能? 在IIS中添加虚拟目录,指向没有AD的另一台计算机上的共享path 设置基于HOST头的保释代理 如何禁用对PING的响应

用户权限分配策略与本地组成员之间的关系是什么?

我刚刚花了一个更好的一部分与供应商的支持电话,我们最终通过手动将其应用程序正在使用的服务帐户添加到以下Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment解决我们的问题由域GPO设置的Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment策略:

  • 备份文件和目录
  • 作为批处理作业login
  • 还原文件和目录

重新启动服务器并获取更新的GPO后,我们的服务帐户在尝试启动应用程序时不再生成以下事件4625 – logintypes4审核事件: 

 Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/22/2013 9:27:04 AM Event ID: 4625 Task Category: Logon Level: Information Keywords: Audit Failure User: N/A Computer: server.constco.com Description: An account failed to log on. Subject: Security ID: SYSTEM Account Name: server$ Account Domain: constco Logon ID: 0x3e7 Logon Type: 4 Account For Which Logon Failed: Security ID: NULL SID Account Name: service-account Account Domain: constco Failure Information: Failure Reason: The user has not been granted the requested logon type at this machine. Status: 0xc000015b Sub Status: 0x0

供应商的文档指示我们将服务帐户添加到备份操作员和高级用户本地组 – 我们所做的。 阅读每个所需的用户权限分配策略的“说明”选项卡,表明备份操作员默认具有这些权限(TechNet似乎证实了这一点 )。 顺便说一句,没有提到高级用户被分配的权利,我可以find,所以我不知道为什么这是一个要求。

  • 为什么我们必须明确地分配这个服务帐户的权限( Back up files and directoriesLog on as a batch jobRestore files and directories ),因为它是备份操作员本地组成员?

  • 用户权限策略和内置本地组之间的关系是什么? 用户权利是否构成构成每个内部本地组的“元”权限的组成部分? 如果是这样,我在哪里可以find哪些权利属于哪些bultin Local Groups?

  • 如前所述,我们通过将我们的服务帐户添加到手动分配多个服务帐户的组策略对象来解决此问题。 我从供应商的工程师那里得知,这个GPO正在干涉这些组成部分到本地组的映射。 这个预感是否正确? 以这种方式分配组成用户权利是一个坏主意(TM)?

本地内置组(以及域组)的成员拥有分配给该组的任何权限。 本地内置组服务器上的默认权限是在本地安全设置中设置的。 要访问本地安全设置,请单击“开始”,键入secpol.msc并按Enter键。 在本地安全策略编辑器中,展开本地策略,然后单击用户权利指派。 在那里你会看到哪些组/用户被授予哪些权利。

本地用户权限分配设置可以被域组策略覆盖。 如果您创build授予某些组/用户特定权限的域组策略,例如“作为批处理作业login”,则这将覆盖用户拥有该权限的本地策略。

从你写的,这是我猜测发生了什么:你有一个GPO在你的域,授予某些用户你提到的权利。 此政策没有将这些权限授予本地计算机Backup Operators组。 此策略覆盖了服务器上的默认策略。 因此,将用户添加到备份操作员组中并没有赋予他们这些权限,因为由于域GPO,备份操作员没有这些权限。

至于供应商的解决scheme是否是一个好主意:我发现通过使用组织良好的团体来pipe理权利通常更容易,而不是授予他们个人帐户。 这样,当你添加一个新用户时,你将用户添加到他所属的逻辑组中,他将立即拥有他所需要的所有权利,而不必一一一一分配他。 这就是内置组织打算做的事情。

与其将这三项权利授予个人用户,您可能已授予“备份运营商”组在GPO中的这三项权利。 然后将该用户添加到该组将具有预期的效果。

我很好奇为什么你会有一个域名政策pipe理这些权利摆在首位。 如果目的是授予某些用户访问权限以执行备份操作,那么使用内置Backup Operators组的域可能会更好。