题 “以批处理作业登录”用户权限由什么GPO删除?


我不是一个服务器管理员,但是在必要的时候我会沾到脚。

现在我在Windows 2008 Server机器上运行一些COTS软件。软件安装程序会创建一些用于运行其进程的用户帐户,然后为这些用户提供“作为批处理作业登录”的权限。

每隔一段时间(例如昨天下午2:52和今天早上7:50),这些权利就会消失。然后该软件停止工作。我可以通过使用验证用户权限已消失

secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS

我有一个脚本,每隔30秒执行一次,并使用时间戳记录结果,所以我知道权限什么时候消失。

我从导出中看到的是,在“良好”状态下,即在我安装软件并且它正常工作之后,来自secedit导出的SeBatchLogonRight行包括由软件创建的用户帐户。但是每隔几个小时(有时更多),这些用户帐户就会从该行中删除。使用GUI工具可以看到同样的事情 Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job:在“良好”状态下,该策略包括所需的用户帐户,而在不良状态下,策略不包含。

根据上述日志记录脚本和删除用户权限的时间戳,我可以清楚地看到一些GPO正在导致更改。 GPO操作日志显示正在正确处理的GPO。例如。:

Starting Registry Extension Processing. 

List of applicable GPOs: (Changes were detected.) 

Local Group Policy 

我已经按需运行GPO gpupdate /force,并能够验证这导致用户权利被删除。

我们已经查看了本地组策略,直到我们的眼睛交叉,试图找出哪一个可能正在剥离这些用户权限“以批处理作业登录”。我们没有在这台机器上配置任何本地组策略,我们知道;那么是否有一个默认的本地组策略可能通常会做这样的事情?是否有典型的域策略可以执行此操作?

我一直在与我们的IT员工同事解决问题,但他们都不是真正的GPO专家......他们戴着很多帽子,他们做了他们需要做的事情,以保持大部分的运行。

任何建议将不胜感激!


5
2018-04-14 19:56






答案:


“政策结果集”工具将帮助您;它位于组策略管理控制台左侧边栏的底部。

将其指向计算机,然后在设置选项卡上,您将找到应用于系统的策略设置的每个项目,以及该设置来自哪个GPO。


5
2018-04-14 20:05



创建一个设置所需值的新GPO,并将其链接到比您要覆盖的OU更靠近计算机的OU。只要默认域策略未设置为“强制”模式,则会提供更具体的链接。 - Shane Madden♦
它不需要更接近目标,它只需要比默认域策略更高的优先级(更低的链接顺序),以便它比默认域策略更晚应用。这两个策略都可以在域级别链接。 - joeqwerty
@joeqwerty足够公平!我很难平衡GPO继承的彻底解释与简洁的需要(这就是为什么我选择不优先考虑单个对象上的链接,继承阻塞,链接到站点,或环回处理如何适应) 。我很感激帮助指出与问题相关的东西,比如能够在域上链接这个问题。 - Shane Madden♦
@Shane:得了。解释集团Polcy及其处理可能会有点复杂。 - joeqwerty
@LarsH:只是为了再次响铃(不是Shane需要我的帮助),这些设置通常不在默认域策略中配置。它们在AD的默认安装中设置为“未配置”,当创建默认组策略对象时,开发人员不太可能以前看到过您的特定问题,并且他们不太可能再次看到它。 - joeqwerty