मैं एक सर्वर प्रशासक के रूप में ज्यादा नहीं हूं, लेकिन जब मुझे करना है तो अपने पैरों को गीला कर दो।
अभी मैं Windows 2008 सर्वर मशीन पर कुछ COTS सॉफ्टवेयर चला रहा हूँ। सॉफ्टवेयर इंस्टॉलर अपनी प्रक्रियाओं को चलाने के लिए कुछ उपयोगकर्ता खाते बनाता है, और फिर उन उपयोगकर्ताओं को "बैच नौकरी के रूप में लॉग ऑन करने" का अधिकार देता है।
हर बार (जैसे कल दोपहर 2:52 बजे और आज सुबह 7:50 बजे), वे अधिकार गायब हो जाते हैं। तब सॉफ्टवेयर काम करना बंद कर देता है। मैं सत्यापित कर सकता हूं कि उपयोगकर्ता अधिकार का उपयोग करके चले गए हैं
secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS
और मेरे पास एक स्क्रिप्ट है जो हर 30 सेकंड में ऐसा करती है और टाइमस्टैम्प के साथ परिणाम लॉग करती है, इसलिए मुझे पता है कि अधिकार कब गायब हो जाते हैं।
मैं निर्यात से जो देखता हूं, वह यह है कि "अच्छा" स्थिति में, अर्थात जब मैं सॉफ़्टवेयर स्थापित करता हूं और यह सही तरीके से काम कर रहा है, तो secedit निर्यात से SeBatchLogonRight के लिए लाइन में सॉफ़्टवेयर द्वारा बनाए गए उपयोगकर्ता खाते शामिल हैं। लेकिन हर कुछ घंटों (कभी-कभी अधिक), उन उपयोगकर्ता खातों को उस पंक्ति से हटा दिया जाता है। जीयूआई उपकरण का उपयोग करके एक ही बात देखी जा सकती है Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job: "अच्छी" स्थिति में, उस नीति में आवश्यक उपयोगकर्ता खाते शामिल होते हैं, और खराब स्थिति में, पॉलिसी नहीं होती है।
उपर्युक्त लॉगिंग स्क्रिप्ट और उपयोगकर्ता के अधिकारों को हटाए जाने वाले टाइमस्टैम्प्स के आधार पर, मैं स्पष्ट रूप से देख सकता हूं कि कुछ जीपीओ परिवर्तन का कारण बन रहे हैं। GPO ऑपरेशनल लॉग दिखाता है कि GPO को सही समय पर संसाधित किया जा रहा है। उदाहरण के लिए:
Starting Registry Extension Processing.
List of applicable GPOs: (Changes were detected.)
Local Group Policy
मैंने मांग का उपयोग करके GPO चलाए हैं gpupdate /force, और यह सत्यापित करने में सक्षम था कि इससे उपयोगकर्ता अधिकार हटा दिए गए थे।
हमने स्थानीय समूह नीतियों पर ध्यान दिया है जब तक कि हमारी आँखों को पार नहीं किया जाता है, यह पता लगाने की कोशिश की जा रही है कि कौन इन उपयोगकर्ता अधिकारों को "एक बैच की नौकरी के रूप में लॉग इन" कर सकता है। हमने इस मशीन पर किसी भी स्थानीय समूह नीतियों को कॉन्फ़िगर नहीं किया है, जिसे हम जानते हैं; इसलिए एक डिफ़ॉल्ट स्थानीय समूह नीति है जो आम तौर पर ऐसा काम कर सकती है? क्या विशिष्ट डोमेन नीतियां हैं जो ऐसा करेगी?
मैं समस्या का निवारण करने के लिए अपने आईटी स्टाफ सहयोगियों के साथ काम कर रहा हूं, लेकिन उनमें से कोई भी वास्तव में जीपीओ विशेषज्ञ नहीं हैं ... वे कई टोपी पहनते हैं, और वे वही करते हैं जो उन्हें करने की आवश्यकता होती है ताकि अधिकांश चीजें चल सकें।
किसी भी सुझाव के लिए बहुत आभार होगा!