[cameron]

Цитата nokogerra:

Здесь же я могу изменить тип запуска Удаленного реестра и даже отключить службу, но после gpupdate служба снова запускается (только на Windows 7) и принимает тип запуска "автоматически" (на XP и на 7), это нормально? Меня это волнует еще потому, что если изменить тип запуска, то он не вернется в тип установленный групповой политикой без gpupdate с ключем /force, что логично, ведь параметры политики более не менялись (даже после перезагрузки). »

вы можете явно указать разрешения на службу(ы), и выкинуть из списка локальных админов (если вы ещё с ними).
но хочу вас предупредить - где-то (по-моему даже в blogs.technet) я встречала обшиную статью, в которой разбирались забавные ошибки WU, одна из которых была следствием игрищ с разрешенияим на службы через GPO.
так же была дополнительная информация, к каким службам лучше своими ручками не лезть.
Найти к сожалению не могу, пруфы будут если нагуглите самостоятельно.

Цитата nokogerra:

2. Можно ли изменить системную учетную запись с помощью групповой политики, от имени которой выполняет вход служба, или добавлять учетную запись от имени которой служба обычно работает в ACL в настройке политики это нормальная практика? »

попробуйте написать свой вопрос по-другому - он непонятен.

[nokogerra]

Спасибо за ответ.

Цитата cameron:

вы можете явно указать разрешения на службу(у), и выкинуть из списка локальных админов (если вы ещё с ними). но хочу вас предупредить - где-то (по-моему даже в blogs.technet) я встречала обшиную статью, в которой разбирались забавные ошибки WU, одна из которых была следствием игрищ с разрешенияим на службы через GPO. так же была дополнительная информация, к каким службам лучше своими ручками не лезть. Найти к сожалению не могу, пруфы будут если нагуглите самостоятельно. »

Если я вас правильно понял, лучшая практика - это убрать локальных администраторов из security служб? В таком случае придется задавать параметры в "системных службах" для каждой службы и задавать тип ее запуска, что не очень удобно, к тому же в этих настройках нет типа запуска "автоматически (отложенный запуск)", т.е. выбирать придется из 3х типов запуска службы.
Я пытаюсь понять - нормально ли это, что администратор может менять эти параметры (путь у него и есть разрешения), ведь например при заданных параметрах брандмауэра через групповую политику, администратор не сможет их менять на рабочей станции, подпадающей под действие этой политики. Почему в случае с настройками из "системные службы" не так?

Цитата cameron:

попробуйте написать свой вопрос по-другому - он непонятен. »

Я действительно выразился кривовато. Я имел в виду, что Удаленный реестр выполняет вход от имени "Локальная служба", и при настройке параметра из "системные службы", если оставить настройки безопасности по умолчанию, то там нет LOCAL SERVICE (там только система, администраторы и интерактивные), и политика не отрабатывает. Чтобы политика заработала, я добавил LOCAL SERVICE в security в настройках политики. Я не уверен стоит ли действовать так, или нужно менять учетную запись от имени которой работает служба (в моем конкретном случае Удаленный реестр).