Мне нужно разрешить стандартным пользователям домена иметь доступ к монитору ресурсов в Windows 7, не добавляя их в группу администраторов на любых локальных машинах. Есть ли параметр GPO домена, позволяющий это сделать?
В настоящее время, если они пытаются получить к нему доступ, им предлагается ввести учетные данные администратора.
Я искал в GPME и сам не могу найти настройку.
редактировать Думаю, у меня не получится это сделать. Монитор ресурсов также позволяет останавливать и запускать процессы, поэтому для его запуска требуется повышение прав.
Пользователь должен быть членом локальной группы «Администраторы» или «Пользователи системного монитора».
Кроме того, я обнаружил, что пользователю или группе, к которой принадлежит пользователь, требуется log on as a batch job и Create Global Object right.
Ключом к поиску этой информации было включение Local Computer Policy/Computer Configuration/Security Settings/Local Policies/Audit Policy/Audit object access и установите для него значение «Аудит сбоев», а затем запустите монитор ресурсов. После получения Access Denied сообщение, просмотрите журнал безопасности средства просмотра событий, и вы должны найти одно или несколько событий «Ошибка аудита». Они укажут вам правильное направление. Возможно, вам придется включить некоторые другие аудиты, чтобы добиться этого, но для меня это не требовалось.
Вам необходимо сделать пользователей членами Администраторов или Группа пользователей системного монитора. А еще в Server 2008 / Vista вам нужно было предоставить пользователям log on as a batch job право. Я не вижу этого предварительного условия в документации для 2008 R2 / Windows 7, но кое-что нужно иметь в виду, если добавления пользователей в группу «Пользователи монитора производительности» недостаточно.
И, конечно же, можно добавлять пользователей в локальную группу через GPO или GPP.
Я считаю, что вы ищете Назначение прав пользователя; Profile system performance, который можно настроить через GPO.
Обратите внимание, что это настраивается в разделе «Конфигурация компьютера», а не «Конфигурация пользователя», поскольку это право, предоставленное на компьютере пользователю или группе пользователей.
Также обратите внимание, что вы должны отметить пользователей / группы, которые уже имеют это право, чтобы их можно было «переназначить» на это право при реализации настройки GPO.
Другая возможность (без GPO) - использование Surun с правилом, как в этот скриншот.
