我不是一个服务器pipe理员,但是当我不得不时,我的脚湿了。
现在我正在Windows 2008 Server计算机上运行一些COTS软件。 软件安装程序会创build一些用于运行其进程的用户帐户,然后为这些用户提供“作为批处理作业login”的权限。
每隔一段时间(例如昨天下午2:52和今天上午7:50),这些权利就会消失。 该软件然后停止工作。 我可以通过使用来validation用户权限是否消失
secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS 我有一个脚本每隔30秒做一次,并logging结果的时间戳,所以我知道什么时候权利消失。
我从导出中看到,在“正常”状态下,即在安装软件并正常工作之后,secedit导出的SeBatchLogonRight行包含由软件创build的用户帐户。 但是每隔几个小时(有时会更多),这些用户帐户将从该行中删除。 使用GUI工具“ Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job可以看到同样的情况:在“正常”状态下,该策略包含所需的用户帐户,坏的状态,政策没有。
基于上述日志脚本和用户权限被删除的时间戳,我可以清楚地看到一些GPO正在引起这种变化。 GPO操作日志显示正在正确处理的GPO。 例如:
Starting Registry Extension Processing. List of applicable GPOs: (Changes were detected.) Local Group Policy
我使用gpupdate /force按需运行GPO,并能够validation这是否导致用户权限被删除。
我们已经查看了本地团体政策,直到我们的目光越过,试图找出哪一个可能会剥夺这些用户权限“作为批量工作login”。 我们还没有在这台机器上configuration任何本地组策略, 那么是否有一个默认的本地组策略可能通常会做这样的事情呢? 有典型的域名政策会这样做吗?
我一直在和我们的IT员工一起解决这个问题,但他们都不是真的GPO专家。他们戴着很多帽子,他们做了他们需要做的事情来保持大部分事情的顺利进行。
任何build议将不胜感激!
“结果集的政策”工具将帮助你在这里; 它位于组策略pipe理控制台左侧的底部。
将其指向机器,然后在设置选项卡上,可以find应用于系统的策略设置的每个项目,以及设置的哪个GPO来自哪个GPO。