我意识到,这个标题立刻听起来是一个坏主意,所以我会certificate除了描述问题的需要。
需要改变系统时间
我最近为客户build立了一个Windows Server 2012 Essentials系统,首次实现了一个以前没有密码的计算机的医疗服务办公室的基于域的结构。 这是一个巨大的变化,有些破坏性。 他们有3个工作站,6-8名员工,依靠和一些人stream量通过。 我replace的工作站是他们的簿记员发布交易的最佳位置,为了以最小的痛苦做到这一点,她一直在改变系统时间,直到现在。 为了不强制实施新的工作stream程,我希望在接下来的几个月内允许她这样做,直到他们离开需要工作stream程的系统。
目前,只有另一台计算机join了域 – 另一台计算机正在运行Windows XP Home,并且在更换时将join域。 我完全理解不改变域控制器时间的智慧,但是不要认为现在对它们的业务会更具破坏性。 由于他们不是一个企业环境,并且是一个试图利用其资源的小企业,我认为这是非常安全的。 如果我即将发生真正的灾难,请随时certificate我错了。
问题
我的理解是,为簿记者提供这种能力的最好方式是让她成为“服务器操作员”组的一部分,因为他们具有“更改组策略中的系统时间”权限。 我想过把这个许可作为一次性提供,但是服务器运营商小组看起来非常适合这个办公室,因为人们需要一些其他的权限(重新启动等)。
问题是,它似乎没有工作,我找不到任何文件为什么。 我已经validation她是该组的成员,运行gpupdate / FORCE,重新启动服务器,她仍然无法更改时间(但我的pipe理员帐户可以)。 与该组相关的其他权限(更改时区)似乎按预期工作,她可以执行这些function。 我还validation了服务器运营商在默认域控制器策略上的组策略中具有该权限,这似乎被应用。 当她试图改变时间时,UAC提示要求凭证继续popup。
因此,我假设我错过了一些东西,而且我没有正确地应用某些东西,某些地方的东西没有被默认设置,我假定它是,或者有什么东西在禁止这个动作,覆盖原来的许可。
有些人可能会考虑的替代方法是,因为我已经在谈论赋予她改变时间的能力,所以给她一个二级pipe理员账户来改变时间。 但是我不愿意这样做,因为我相信有一个更好,更安全的select,我在这个办公室使用领域模型的部分原因是他们以前用pipe理员凭证做出了糟糕的select。 我非常想find一个解决scheme或解决方法,不给他们更多的权限,而不是他们需要有效地完成他们的工作。
有没有人有这个问题的经验? 服务器运营商组是否正确的路线? 谢谢你的帮助。
编辑:长时间回答下面的问题。 我明白它可以使基本function失败。 大多数情况下,他们倾向于在一天之内login一次,并保持login。我的希望是,它不会干扰其他电脑。 如果是这样,我们会find一个不同的解决方法,让他们更好地了解情况。 我对发帖过程的理解是,他们必须和服务当天的date一样张贴,但是簿记员每周只有几天。 我们正在过渡到一个系统,让她在发布的时间而不是系统范围内。
域控制器正被用作工作站。 他们没有很多电脑的钱,但是我认为他们受益于拥有一个域名的一些优点,这是一个仔细考虑的折衷,尽pipe我明白这是违背最佳实践的。
我希望这会死在苏,但是因为它被搬到这里,我会就你的情况给你我的专业意见。
如果最终用户需要login到此服务器,则不应该是域控制器。 期。 不要把所有的时间都浪费在废话和其他事情上,这只会加强这个说法。 最终用户不应login到未正确configurationterminal服务器的服务器。 当服务器是域或域控制器的成员时,任何服务器都不应该任意改变时间。 没有最终用户应该有权执行这些操作。
为这个用户购买一个便宜的工作站,他们可以运行这个软件,或让他们使用这个服务器,但降级它,使它不是一个DC。 给他们一个虚拟机,他们可以RDP来运行这个软件。 有很多select。 真的诚实地做任何事情,而不是你现在正在做什么。
编辑:我还要指出,使用RDP为最终用户在服务器上执行没有远程桌面服务(以前的terminal服务)许可的应用程序是违反了EULA,你可能会失败的许可审计,并罚款罚款由微软他们曾经find。 两个RDP会话允许“免费”的服务器用于远程pipe理服务器,而不是将其用作日常工作的工作站。