Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Непонятный параметр доменной групповой политики (http://forum.oszone.net/showthread.php?t=292451)

mcmurphy 11-12-2014 16:44 2442836
Непонятный параметр доменной групповой политики
 
Добрый день!
В наследство досталась сеть, в которой много всякого непонятного и странного.
Сейчас всплыл такой косяк: в Дефолтовой доменной политике прописаны такие настройки:
Конфигурация компьютера - Параметры безопасности - Локальные политики - Назначение прав пользователя:
- вход в качестве службы: network service, my_domain\администраторы домена, Операторы архива
в настоящее время вредит именно этот параметр, т.к. не дает установить службы терминалов на 2012 сервере. На одном из этап должна создасться внутренняя база, и созданная служба не может стартовать из-за этих ограничений ГПО.

кроме этого прописаны такие параметры:
- вход в качестве пакетного задания: my_domain\администраторы домена, Операторы архива
- добавление рабочих станций к домену: my_domain\администраторы домена, my_domain\администраторы предприятия
- доступ к компьютеру из сети: все
- локальный вход в систему: my_domain\администратор, my_domain\пользователи домена, Администраторы, Пользователи

Непонятно - зачем были настроены эти параметры, если не ошибаюсь, они по дефолту не настроены.
Какой смысл ограничивать вход в качестве службы, пакетного задания? Это дает какую-то защиту? Часть юзеров сидит под локальными админами, может для этого созданы эти ограничения?

Можно ли эти параметры вернуть на дефолтные (тупо удалить)?

nokogerra 12-12-2014 08:23 2443051
Добрый день.
То, что параметр в настройках политики не задан, не значит что он не имеет значений по умолчанию. Например "пакетный" вход (а не только интерактивный) и так назначается Администраторам и Операторам архивации, даже если это не задано явственно. Вход в качестве службы необходим (если я правильно помню) только в том случае, если на станциях работают службы от имени пользовательских учетных записей, так что прежде чем убирать этот пункт - выясните что это могут быть за службы и есть ли таковые вообще.

Восстановить политику по умолчанию можно с помощью dcgpofix, однако считается что эта утилита должна использоваться только в крайнем случае, она якобы может не восстановить настройки безопасности. Измененные мной настройки безопасности эта утилита восстановила, с другой стороны относится ли это ко всем настройкам - не могу сказать. Могу утверждать лишь то, что она добавляет некоторые настройки в конфигурацию пользователя (которые можно потом удалить), что необходимо все же сделать бэкап политики прежде чем предпринимать какие-то действия. Также здесь указаны различия между дефолтной политикой сразу после dcpromo и дефолтной политикой после использования dcgpofix, однако это таблица для Windows 2003, для более свежих ОС я не находил подобной информации.


Время: 07:50.

Время: 07:50.
© OSzone.net 2001-