重新启动服务器并获取更新的GPO后,我们的服务帐户在尝试启动应用程序时不再生成以下事件4625 – 登录类型4审核事件:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/22/2013 9:27:04 AM Event ID: 4625 Task Category: logon Level: Information Keywords: Audit Failure User: N/A Computer: server.constco.com Description: An account Failed to log on. Subject: Security ID: SYSTEM Account Name: server$ Account Domain: constco logon ID: 0x3e7 logon Type: 4 Account For Which logon Failed: Security ID: NULL SID Account Name: service-account Account Domain: constco Failure Information: Failure Reason: The user has not been granted the requested logon type at this machine. Status: 0xc000015b Sub Status: 0x0
供应商的文档指示我们将服务帐户添加到备份运算符和高级用户本地组 – 我们这样做了.阅读每个所需的用户权限分配策略的“说明”选项卡表示备份运算符默认具有这些权限(TechNet似乎确认this).顺便说一下,没有提到高级用户被分配了我可以找到的那些权利所以我不确定为什么这是一个要求.
>为什么我们必须明确地将该权限(备份文件和目录,作为批处理作业登录,还原文件和目录)分配给该服务帐户,因为它已成为Backup Operators Local的成员组?
>用户权限策略与内置本地组之间的关系是什么?用户权利政策是构成每个内置本地组的“元”权利的组成部分吗?如果是这样,我在哪里可以找到属于哪个bultin本地组的权利?
>如上所述,我们通过将我们的服务帐户添加到组策略对象来解决此问题,该组策略对象手动为这些特定权限分配了多个服务帐户.我从供应商的工程师那里得知这个GPO干扰了这些组成权利到本地组的映射.这种预感是否正确?以这种方式将组成用户权利分配给Bad Idea(TM)?
域组策略可以覆盖本地用户权限分配设置.如果您创建的域组策略授予某些组/用户特定权限,例如“作为批处理作业登录”,则这将覆盖用户具有该权限的本地策略.
根据你所写的,这是我猜的发生了:
您的域中有一个GPO,它授予某些用户您提到的权限.此策略未将这些权限授予本地计算机Backup Operators组.此策略覆盖了服务器上的默认策略.因此,将用户添加到Backup Operators组并未向他们提供这些权限,因为由于域GPO,备份运算符没有这些权限.
至于供应商的解决方案是否是一个好主意:
我发现通过使用组织良好的组来管理权限通常更容易,而不是将它们授予个人帐户.这样,当您添加新用户时,您将用户添加到他所属的逻辑组中,并且他将立即获得他需要的所有权限,而不是必须逐个分配给他.这就是内置小组打算做的事情.
您可以将“备份运算符”组授予GPO中的这三个权限,而不是将这三个权限授予单个用户.然后将用户添加到该组将具有预期的效果.
我很好奇为什么你会有一个域策略来管理这些权利.如果目的是授予某些用户执行备份操作的权限,则最好使用域内置Backup Operators组.
