Добрый день!
В наследство досталась сеть, в которой много всякого непонятного и странного.
Сейчас всплыл такой косяк: в Дефолтовой доменной политике прописаны такие настройки:
Конфигурация компьютера - Параметры безопасности - Локальные политики - Назначение прав пользователя:
- вход в качестве службы: network service, my_domain\администраторы домена, Операторы архива
в настоящее время вредит именно этот параметр, т.к. не дает установить службы терминалов на 2012 сервере. На одном из этап должна создасться внутренняя база, и созданная служба не может стартовать из-за этих ограничений ГПО.

кроме этого прописаны такие параметры:
- вход в качестве пакетного задания: my_domain\администраторы домена, Операторы архива
- добавление рабочих станций к домену: my_domain\администраторы домена, my_domain\администраторы предприятия
- доступ к компьютеру из сети: все
- локальный вход в систему: my_domain\администратор, my_domain\пользователи домена, Администраторы, Пользователи

Непонятно - зачем были настроены эти параметры, если не ошибаюсь, они по дефолту не настроены.
Какой смысл ограничивать вход в качестве службы, пакетного задания? Это дает какую-то защиту? Часть юзеров сидит под локальными админами, может для этого созданы эти ограничения?

Можно ли эти параметры вернуть на дефолтные (тупо удалить)?

Добрый день.
То, что параметр в настройках политики не задан, не значит что он не имеет значений по умолчанию. Например "пакетный" вход (а не только интерактивный) и так назначается Администраторам и Операторам архивации, даже если это не задано явственно. Вход в качестве службы необходим (если я правильно помню) только в том случае, если на станциях работают службы от имени пользовательских учетных записей, так что прежде чем убирать этот пункт - выясните что это могут быть за службы и есть ли таковые вообще.

Восстановить политику по умолчанию можно с помощью dcgpofix (http://technet.microsoft.com/en-us/library/hh875588.aspx), однако считается что эта утилита должна использоваться только в крайнем случае, она якобы может не восстановить настройки безопасности. Измененные мной настройки безопасности эта утилита восстановила, с другой стороны относится ли это ко всем настройкам - не могу сказать. Могу утверждать лишь то, что она добавляет некоторые настройки в конфигурацию пользователя (которые можно потом удалить), что необходимо все же сделать бэкап политики прежде чем предпринимать какие-то действия. Также здесь (http://support.microsoft.com/kb/833783/en-us) указаны различия между дефолтной политикой сразу после dcpromo и дефолтной политикой после использования dcgpofix, однако это таблица для Windows 2003, для более свежих ОС я не находил подобной информации.