"एक बैच नौकरी के रूप में लॉग ऑन करें" क्या GPO द्वारा उपयोगकर्ता अधिकारों को हटा दिया गया है?


5

मैं एक सर्वर प्रशासक के रूप में ज्यादा नहीं हूं, लेकिन जब मुझे करना है तो अपने पैरों को गीला कर दो।

अभी मैं Windows 2008 सर्वर मशीन पर कुछ COTS सॉफ्टवेयर चला रहा हूँ। सॉफ्टवेयर इंस्टॉलर अपनी प्रक्रियाओं को चलाने के लिए कुछ उपयोगकर्ता खाते बनाता है, और फिर उन उपयोगकर्ताओं को "बैच नौकरी के रूप में लॉग ऑन करने" का अधिकार देता है।

हर बार (जैसे कल दोपहर 2:52 बजे और आज सुबह 7:50 बजे), वे अधिकार गायब हो जाते हैं। तब सॉफ्टवेयर काम करना बंद कर देता है। मैं सत्यापित कर सकता हूं कि उपयोगकर्ता अधिकार का उपयोग करके चले गए हैं

secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS

और मेरे पास एक स्क्रिप्ट है जो हर 30 सेकंड में ऐसा करती है और टाइमस्टैम्प के साथ परिणाम लॉग करती है, इसलिए मुझे पता है कि अधिकार कब गायब हो जाते हैं।

मैं निर्यात से जो देखता हूं, वह यह है कि "अच्छा" स्थिति में, अर्थात जब मैं सॉफ़्टवेयर स्थापित करता हूं और यह सही तरीके से काम कर रहा है, तो secedit निर्यात से SeBatchLogonRight के लिए लाइन में सॉफ़्टवेयर द्वारा बनाए गए उपयोगकर्ता खाते शामिल हैं। लेकिन हर कुछ घंटों (कभी-कभी अधिक), उन उपयोगकर्ता खातों को उस पंक्ति से हटा दिया जाता है। जीयूआई उपकरण का उपयोग करके एक ही बात देखी जा सकती है Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job: "अच्छी" स्थिति में, उस नीति में आवश्यक उपयोगकर्ता खाते शामिल होते हैं, और खराब स्थिति में, पॉलिसी नहीं होती है।

उपर्युक्त लॉगिंग स्क्रिप्ट और उपयोगकर्ता के अधिकारों को हटाए जाने वाले टाइमस्टैम्प्स के आधार पर, मैं स्पष्ट रूप से देख सकता हूं कि कुछ जीपीओ परिवर्तन का कारण बन रहे हैं। GPO ऑपरेशनल लॉग दिखाता है कि GPO को सही समय पर संसाधित किया जा रहा है। उदाहरण के लिए:

Starting Registry Extension Processing. 

List of applicable GPOs: (Changes were detected.) 

Local Group Policy 

मैंने मांग का उपयोग करके GPO चलाए हैं gpupdate /force, और यह सत्यापित करने में सक्षम था कि इससे उपयोगकर्ता अधिकार हटा दिए गए थे।

हमने स्थानीय समूह नीतियों पर ध्यान दिया है जब तक कि हमारी आँखों को पार नहीं किया जाता है, यह पता लगाने की कोशिश की जा रही है कि कौन इन उपयोगकर्ता अधिकारों को "एक बैच की नौकरी के रूप में लॉग इन" कर सकता है। हमने इस मशीन पर किसी भी स्थानीय समूह नीतियों को कॉन्फ़िगर नहीं किया है, जिसे हम जानते हैं; इसलिए एक डिफ़ॉल्ट स्थानीय समूह नीति है जो आम तौर पर ऐसा काम कर सकती है? क्या विशिष्ट डोमेन नीतियां हैं जो ऐसा करेगी?

मैं समस्या का निवारण करने के लिए अपने आईटी स्टाफ सहयोगियों के साथ काम कर रहा हूं, लेकिन उनमें से कोई भी वास्तव में जीपीओ विशेषज्ञ नहीं हैं ... वे कई टोपी पहनते हैं, और वे वही करते हैं जो उन्हें करने की आवश्यकता होती है ताकि अधिकांश चीजें चल सकें।

किसी भी सुझाव के लिए बहुत आभार होगा!

जवाबों:


5

"नीति का परिणामी सेट" उपकरण आपको यहां से बाहर निकालने में मदद करेगा; यह समूह नीति प्रबंधन कंसोल में बाएं साइडबार के निचले भाग में है।

इसे मशीन पर इंगित करें, फिर सेटिंग टैब पर, आपको सिस्टम पर लागू नीतियों द्वारा निर्धारित प्रत्येक आइटम मिलेगा, और जो जीपीओ से आया है।


1
एक नया GPO बनाएँ जो वांछित मान सेट करता है, और इसे एक OU से लिंक करें, जो आपके द्वारा ओवरराइड किए जाने की तुलना में कंप्यूटर के करीब है। जब तक डिफ़ॉल्ट डोमेन नीति को "लागू" मोड पर सेट नहीं किया जाता है, तब तक अधिक विशिष्ट लिंक प्रबल होता है।
शेन झुंझलाना

1
इसे लक्ष्य के करीब से जोड़ने की आवश्यकता नहीं है, इसे केवल डिफ़ॉल्ट डोमेन नीति की तुलना में उच्च वरीयता (कम लिंक ऑर्डर) पर होना चाहिए ताकि यह डिफ़ॉल्ट डोमेन नीति से बाद में लागू हो। दोनों नीतियों को डोमेन स्तर पर जोड़ा जा सकता है।
जोवेवर्टी

1
@joeqwerty मेला काफी! मैं एक कठिन समय संतुलन की आवश्यकता के खिलाफ जीपीओ विरासत के बारे में पूरी तरह से व्याख्या कर रहा हूँ (यही वजह है कि मैंने किसी एकल वस्तु, विरासत ब्लॉकिंग, साइटों के लिंक या लूप प्रोसेसिंग में कैसे फिट बैठता है) के लिंक की पूर्ववर्ती स्थिति में नहीं जाने का विकल्प चुना है। । मैं उस सामान की ओर इशारा करने में मदद की सराहना करता हूं जो इस सवाल से प्रासंगिक है जैसे कि इसे डोमेन पर लिंक करने में सक्षम होना।
शेन झुंझलाना

1
@ शने: गोत्र। ग्रुप पॉल्सी और उसके प्रोसेसिंग के बारे में बताना थोड़ा जटिल हो सकता है।
जोवेवर्टी

2
@ लार्स: बस फिर से झंकार करने के लिए (ऐसा नहीं है कि शेन को मेरी मदद की ज़रूरत है), उन सेटिंग्स को आमतौर पर डिफ़ॉल्ट डोमेन नीति में कॉन्फ़िगर नहीं किया गया है। वे AD की डिफ़ॉल्ट स्थापना में "कॉन्फ़िगर नहीं किए गए" करने के लिए सेट हैं, जब डिफ़ॉल्ट समूह नीति ऑब्जेक्ट बनाए जाते हैं, तो यह संभावना नहीं है कि डेवलपर्स ने आपकी विशेष समस्या को पहले देखा है और यह बहुत संभावना नहीं है कि वे इसे फिर से देखेंगे।
जोवेवर्टी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.