windows-server-2008-r2 – 用户权限分配策略与本地组成员之间的关系是什么

前端之家收集整理的这篇文章主要介绍了windows-server-2008-r2 – 用户权限分配策略与本地组成员之间的关系是什么前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我今天早上花了大部分时间与供应商进行支持电话,我们最终通过手动将其应用程序使用的服务帐户添加到以下计算机配置/策略/ Windows设置/安全设置/本地策略/用户解决我们的问题由域GPO设置的权限分配策略:

>备份文件和目录
>以批处理作业登录
>恢复文件和目录

重新启动服务器并获取更新的GPO后,我们的服务帐户在尝试启动应用程序时不再生成以下事件4625 – 登录类型4审核事件:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/22/2013 9:27:04 AM
Event ID:      4625
Task Category: logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      server.constco.com
Description:
An account Failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       server$
    Account Domain:     constco
    logon ID:       0x3e7

logon Type:         4

Account For Which logon Failed:
    Security ID:        NULL SID
    Account Name:       service-account
    Account Domain:     constco

Failure Information:
    Failure Reason:     The user has not been granted the requested logon type at this machine.
    Status:         0xc000015b
    Sub Status:     0x0

供应商的文档指示我们将服务帐户添加到备份运算符和高级用户本地组 – 我们这样做了.阅读每个所需的用户权限分配策略的“说明”选项卡表示备份运算符默认具有这些权限(TechNet似乎确认this).顺便说一下,没有提到高级用户被分配了我可以找到的那些权利所以我不确定为什么这是一个要求.

>为什么我们必须明确地将该权限(备份文件和目录,作为批处理作业登录,还原文件和目录)分配给该服务帐户,因为它已成为Backup Operators Local的成员组?
>用户权限策略与内置本地组之间的关系是什么?用户权利政策是构成每个内置本地组的“元”权利的组成部分吗?如果是这样,我在哪里可以找到属于哪个bultin本地组的权利?
>如上所述,我们通过将我们的服务帐户添加到组策略对象来解决此问题,该组策略对象手动为这些特定权限分配了多个服务帐户.我从供应商的工程师那里得知这个GPO干扰了这些组成权利到本地组的映射.这种预感是否正确?以这种方式将组成用户权利分配给Bad Idea(TM)?

本地内置组(以及域组)的成员具有分配给该组的任何权限.本地内置组的服务器上的默认权限在本地安全设置中设置.要访问本地安全设置,请单击“开始”,键入secpol.msc并按Enter键.在“本地安全策略”编辑器中,展开“本地策略”,然后单击“用户权限分配”.在那里,您将看到哪些组/用户被授予哪些权限.

域组策略可以覆盖本地用户权限分配设置.如果您创建的域组策略授予某些组/用户特定权限,例如“作为批处理作业登录”,则这将覆盖用户具有该权限的本地策略.

根据你所写的,这是我猜的发生了:
您的域中有一个GPO,它授予某些用户您提到的权限.此策略未将这些权限授予本地计算机Backup Operators组.此策略覆盖了服务器上的默认策略.因此,将用户添加到Backup Operators组并未向他们提供这些权限,因为由于域GPO,备份运算符没有这些权限.

至于供应商的解决方案是否是一个好主意:
我发现通过使用组织良好的组来管理权限通常更容易,而不是将它们授予个人帐户.这样,当您添加新用户时,您将用户添加到他所属的逻辑组中,并且他将立即获得他需要的所有权限,而不是必须逐个分配给他.这就是内置小组打算做的事情.

您可以将“备份运算符”组授予GPO中的这三个权限,而不是将这三个权限授予单个用户.然后将用户添加到该组将具有预期的效果.

我很好奇为什么你会有一个域策略来管理这些权利.如果目的是授予某些用户执行备份操作的权限,则最好使用域内置Backup Operators组.

原文链接:https://www.f2er.com/windows/366156.html

猜你在找的Windows相关文章