授予使用者在 Windows Server 2012 域控制器上更改系統時間的權限
我意識到這個標題聽起來像是個壞主意,所以除了描述問題之外,我還要證明需要。
需要更改系統時間
我最近為客戶設置了一個 Windows Server 2012 Essentials 系統,這是第一次為以前擁有無密碼電腦的醫療服務辦公室實施基於域的結構。這是一個很大的變化,而且有些破壞性。他們有 3 個工作站,6 到 8 名員工,視情況而定,還有一些流動的人員。我更換的工作站是他們的簿記員發布交易的最佳地點,為了以最小的痛苦做到這一點,她一直在更改系統時間,直到現在。為了不強加新的工作流程,我想讓她在接下來的幾個月裡這樣做,直到他們離開需要該工作流程的系統。
目前,只有一台其他電腦加入域 - 另一台電腦執行 Windows XP Home,並且在更換時將加入域。我完全理解不隨意更改域控制器時間的智慧,但認為現在不允許這樣做會對他們的業務造成更大的破壞。由於它們不是企業環境,並且是試圖使用其資源的小型企業,因此我認為它非常安全。如果我即將犯下真正的災難,請隨時證明我錯了。
問題
我的理解是,賦予簿記員這種能力的最好方法是讓她成為 Server Operators 組的一部分,因為他們在組策略中具有更改系統時間權限。我曾考慮一次性分發該權限,但伺服器操作員組似乎很適合這個辦公室,因為人們需要分配給它的一些其他權限(重新啟動等)。
問題是,它似乎不起作用,我找不到任何文件說明原因。我已經確認她是該組的成員,執行 gpupdate /FORCE,重新啟動伺服器,她仍然無法更改時間(但我的管理員帳戶可以)。與組相關的其他權限(更改時區)似乎按預期工作,她可以執行這些功能。我還驗證了伺服器操作員在預設域控制器策略的組策略中具有該權限,這似乎已應用。當她嘗試更改時間時,會繼續彈出要求提供憑據的 UAC 提示。
結果,我假設我遺漏了某些東西並且我沒有正確應用某些東西,預設情況下未設置鏈中某處的某些東西,我假設它是,或者某些東西禁止該操作,覆蓋原始權限。
有些人可能會考慮的替代方案,因為我已經在談論讓她能夠更改時間,所以給她一個輔助管理員帳戶來更改時間。但我還不願意這樣做,因為我相信存在更好、更安全的選擇,而我在這個辦公室使用域模型的部分原因是因為他們之前在管理員憑據方面做出了糟糕的選擇。我非常想找到一個解決方案或解決方法,它不會為他們提供比他們有效完成工作所需的更多權限。
有沒有人有這個問題的經驗?伺服器操作員組是正確的路線嗎?謝謝你的幫助。
**編輯:**對以下問題的長篇回答。我明白它會使基本功能失敗。大多數情況下,他們傾向於在一天開始時登錄一次並保持登錄狀態。我希望它不會干擾其他電腦。如果是這樣,我們會找到不同的解決方法,讓他們更好地了解情況。我對過帳過程的理解是,他們必須在與服務日相同的日期過帳,但簿記員每週只有幾天。我們正在過渡到一個系統,該系統允許她在發帖中設置時間,而不是在系統範圍內設置時間。
出於必要,域控制器被用作工作站。他們沒有錢買很多電腦,但我認為他們受益於擁有域等的一些優勢。這是一個經過仔細考慮的權衡,儘管我知道這很不符合最佳實踐。
我希望這會死在 SU 上,但既然它搬到了這裡,我會給你我對這種情況的專業意見。
如果最終使用者需要登錄到此伺服器,它不應該是域控制器。時期。沒關係一直胡說八道和其他一切,這只會強化這一說法。最終使用者不應登錄未正確配置終端伺服器的伺服器。當伺服器是域或域控制器的成員時,任何伺服器都不應隨意更改時間。任何最終使用者都不應有權執行這些操作。
為這個使用者購買一個便宜的工作站,他們可以在上面執行這個軟體,或者讓他們使用這個伺服器,但將它降級,這樣它就不是 DC。給他們一個他們可以 RDP 進入的 VM 來執行這個軟體。有很多選擇。除了你現在正在做的事情之外,真的要誠實地做任何事情。
編輯:我還要指出,使用 RDP 讓最終使用者在沒有遠端桌面服務(以前的終端服務)許可的伺服器上執行應用程序是違反 EULA 的,你可能會通過許可證審核失敗並被罰款微軟是他們曾經發現過的。允許“免費”的伺服器的兩個 RDP 會話用於遠端管理伺服器,而不是將其用作日常工作的工作站。