授予用户在Windows Server 2012域控制器上更改系统时间的权限

前端之家收集整理的这篇文章主要介绍了授予用户在Windows Server 2012域控制器上更改系统时间的权限前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我意识到这个标题立即听起来像个坏主意,所以除了描述问题之外,我还要证明这个需要.

需要改变系统时间

我最近为客户端建立了一个Windows Server 2012 Essentials系统,这是第一次将基于域的结构实现到以前拥有无密码计算机的医疗服务办公室.这是一个很大的变化,有点破坏性.他们有3个工作站,6-8名员工,依赖,并且有一些人流动.我更换的工作站是他们的簿记员发布交易的最佳位置,为了以最少的痛苦这样做,她一直在改变系统时间,直到现在.为了不强加新的工作流程,我想让她在接下来的几个月内这样做,直到他们离开需要该工作流程的系统.

目前,只有一台其他计算机加入域 – 另一台计算机正在运行Windows XP Home,并且在更换时将加入域.我完全理解不会毫不犹豫地改变域控制器时间的智慧,但认为不允许它现在对他们的业务更具破坏性.由于它们不是企业环境,并且是试图使用其资源的小型企业,因此我认为它非常安全.如果我要犯一场真正的灾难,请随意证明我是错的.

问题

我的理解是,赋予簿记员这种能力的最佳方法是让她成为Server Operators组的一部分,因为他们在组策略中具有“更改系统时间”权限.我考虑过将该权限作为一次性发放,但Server Operators组似乎非常适合这个办公室,因为人们需要分配一些其他权限(重启等).

问题是,它似乎不起作用,我找不到任何关于原因的文档.我已经确认她是该组的成员,运行gpupdate / FORCE,重新启动服务器,她仍然无法更改时间(但我的管理员帐户可以).与该组相关的其他权限(更改时区)似乎按预期工作,她可以执行这些功能.我还验证了服务器操作符在默认域控制器策略的组策略中具有该权限,这似乎是应用的.当她尝试更改时间时,会继续弹出询问凭据的UAC提示.

结果,我假设我错过了一些东西并且我没有正确应用某些东西,默认情况下没有设置链中的某些东西而且我认为它是,或者某些东西禁止这种行为,覆盖原始权限.

一些人可能会考虑的替代方案,因为我已经在谈论让她有能力改变时间,就是给她一个辅助管理员帐户来改变时间.但我还不愿意这样做,因为我认为存在一个更好,更安全的选项,而我在这个办公室使用域模型的部分原因是因为他们之前使用管理员凭据做出了糟糕的选择.我非常希望找到一种解决方案或解决方法,它们不会给予他们比有效完成工作所需的更多权限.

有没有人有这个问题的经验? Server Operators组是正确的路由吗?谢谢你的帮助.

编辑:对以下问题的长时间回答.我明白它可以使基本功能失败.大多数情况下,他们倾向于在一天开始时登录并保持登录状态.我希望它不会干扰其他计算机.如果是这样,我们会找到一个不同的解决方法,让他们更好地了解情况.我对发布过程的理解是,它们必须以与服务日相同的日期发布,但簿记员每周只有几天.我们正在转换到一个系统,让她在发布时间而不是系统范围内设置时间.

域控制器不再需要用作工作站.他们没有很多计算机的钱,但我认为他们可以从拥有域名的一些优势中受益.这是一个经过仔细考虑的权衡,尽管我理解它与最佳实践相媲美.

我希望这会在SU上死,但既然它已经搬到了这里,我会就这种情况向你提供我的专业意见.

如果最终用户需要登录此服务器,则它不应该是域控制器.期.永远不要胡说八道和其他一切,这只会强化这种说法.最终用户不应登录未正确配置终端服务器的服务器.当服务器是域或域控制器的成员时,任何服务器都不应该任意更改时间.最终用户无权执行这些操作.

为这个用户购买一个便宜的工作站,他们可以运行这个软件,或让他们使用这个服务器,但降级它,使它不是DC.给他们一个他们可以RDP的VM来运行这个软件.有很多选择.真的老实说,除了你现在正在做的事情之外做任何其他事情.

编辑:我还要指出,使用RDP为最终用户在没有远程桌面服务(以前称为终端服务)许可的服务器上执行应用程序是违反EULA的,并且您可能无法通过许可证审核并被罚款微软是他们有史以来发现的.允许“免费”的服务器的两个RDP会话用于远程管理服务器,而不是用作日常工作的工作站.

猜你在找的Windows相关文章