|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Непонятный параметр доменной групповой политики |
|
|
2008 R2 - Непонятный параметр доменной групповой политики
|
|
Пользователь Сообщения: 131 |
Добрый день!
В наследство досталась сеть, в которой много всякого непонятного и странного. Сейчас всплыл такой косяк: в Дефолтовой доменной политике прописаны такие настройки: Конфигурация компьютера - Параметры безопасности - Локальные политики - Назначение прав пользователя: - вход в качестве службы: network service, my_domain\администраторы домена, Операторы архива в настоящее время вредит именно этот параметр, т.к. не дает установить службы терминалов на 2012 сервере. На одном из этап должна создасться внутренняя база, и созданная служба не может стартовать из-за этих ограничений ГПО. кроме этого прописаны такие параметры: - вход в качестве пакетного задания: my_domain\администраторы домена, Операторы архива - добавление рабочих станций к домену: my_domain\администраторы домена, my_domain\администраторы предприятия - доступ к компьютеру из сети: все - локальный вход в систему: my_domain\администратор, my_domain\пользователи домена, Администраторы, Пользователи Непонятно - зачем были настроены эти параметры, если не ошибаюсь, они по дефолту не настроены. Какой смысл ограничивать вход в качестве службы, пакетного задания? Это дает какую-то защиту? Часть юзеров сидит под локальными админами, может для этого созданы эти ограничения? Можно ли эти параметры вернуть на дефолтные (тупо удалить)? |
|
|
Отправлено: 16:44, 11-12-2014 |
|
Старожил Сообщения: 498
|
Профиль | Сайт | Отправить PM | Цитировать Добрый день.
То, что параметр в настройках политики не задан, не значит что он не имеет значений по умолчанию. Например "пакетный" вход (а не только интерактивный) и так назначается Администраторам и Операторам архивации, даже если это не задано явственно. Вход в качестве службы необходим (если я правильно помню) только в том случае, если на станциях работают службы от имени пользовательских учетных записей, так что прежде чем убирать этот пункт - выясните что это могут быть за службы и есть ли таковые вообще. Восстановить политику по умолчанию можно с помощью dcgpofix, однако считается что эта утилита должна использоваться только в крайнем случае, она якобы может не восстановить настройки безопасности. Измененные мной настройки безопасности эта утилита восстановила, с другой стороны относится ли это ко всем настройкам - не могу сказать. Могу утверждать лишь то, что она добавляет некоторые настройки в конфигурацию пользователя (которые можно потом удалить), что необходимо все же сделать бэкап политики прежде чем предпринимать какие-то действия. Также здесь указаны различия между дефолтной политикой сразу после dcpromo и дефолтной политикой после использования dcgpofix, однако это таблица для Windows 2003, для более свежих ОС я не находил подобной информации. |
|
Отправлено: 08:23, 12-12-2014 | #2 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Прочее - [решено] Непонятный двоичный параметр! Прошу помощи! | kon2ur | Сетевые технологии | 4 | 03-06-2013 18:07 | |
| Ошибка групповой политики | kalyan | Microsoft Windows NT/2000/2003 | 1 | 01-03-2012 16:41 | |
| Правильная организация доменной политики или куда копать? | powerw | Хочу все знать | 9 | 12-05-2011 14:05 | |
| 2008 R2 - Не отрабатывает параметр групповой политики напоминания смены пароля | PaShock | Windows Server 2008/2008 R2 | 4 | 27-04-2011 08:34 | |
| Ошибка групповой политики. | leoa | Microsoft Windows NT/2000/2003 | 5 | 04-04-2011 14:29 | |
|
|
Время: 19:19. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
