![]() |
Непонятный параметр доменной групповой политики
Добрый день!
В наследство досталась сеть, в которой много всякого непонятного и странного. Сейчас всплыл такой косяк: в Дефолтовой доменной политике прописаны такие настройки: Конфигурация компьютера - Параметры безопасности - Локальные политики - Назначение прав пользователя: - вход в качестве службы: network service, my_domain\администраторы домена, Операторы архива в настоящее время вредит именно этот параметр, т.к. не дает установить службы терминалов на 2012 сервере. На одном из этап должна создасться внутренняя база, и созданная служба не может стартовать из-за этих ограничений ГПО. кроме этого прописаны такие параметры: - вход в качестве пакетного задания: my_domain\администраторы домена, Операторы архива - добавление рабочих станций к домену: my_domain\администраторы домена, my_domain\администраторы предприятия - доступ к компьютеру из сети: все - локальный вход в систему: my_domain\администратор, my_domain\пользователи домена, Администраторы, Пользователи Непонятно - зачем были настроены эти параметры, если не ошибаюсь, они по дефолту не настроены. Какой смысл ограничивать вход в качестве службы, пакетного задания? Это дает какую-то защиту? Часть юзеров сидит под локальными админами, может для этого созданы эти ограничения? Можно ли эти параметры вернуть на дефолтные (тупо удалить)? |
Добрый день.
То, что параметр в настройках политики не задан, не значит что он не имеет значений по умолчанию. Например "пакетный" вход (а не только интерактивный) и так назначается Администраторам и Операторам архивации, даже если это не задано явственно. Вход в качестве службы необходим (если я правильно помню) только в том случае, если на станциях работают службы от имени пользовательских учетных записей, так что прежде чем убирать этот пункт - выясните что это могут быть за службы и есть ли таковые вообще. Восстановить политику по умолчанию можно с помощью dcgpofix, однако считается что эта утилита должна использоваться только в крайнем случае, она якобы может не восстановить настройки безопасности. Измененные мной настройки безопасности эта утилита восстановила, с другой стороны относится ли это ко всем настройкам - не могу сказать. Могу утверждать лишь то, что она добавляет некоторые настройки в конфигурацию пользователя (которые можно потом удалить), что необходимо все же сделать бэкап политики прежде чем предпринимать какие-то действия. Также здесь указаны различия между дефолтной политикой сразу после dcpromo и дефолтной политикой после использования dcgpofix, однако это таблица для Windows 2003, для более свежих ОС я не находил подобной информации. |
Время: 07:50. |
Время: 07:50.
© OSzone.net 2001-