У нас есть дизайн подразделения в нашем домене, в котором каждая «система» (веб-службы и аналогичные) имеет свое собственное подразделение, в которое вложены серверы и учетные записи, которые она использует:
...
+ System A
+ Servers
- SRV-A1
- SRV-A2
+ ServiceAccounts
- Svc-Foo
- Svc-Bar
+ System B
+ Servers
- SRV-B1
- SRV-B2
+ ServiceAccounts
- Svc-Baz
- Svc-Qux
Я пытаюсь создать единый объект групповой политики, который добавит «Вход в качестве службы» на всех серверах в системе ко всем учетным записям в соответствующих подразделениях учетных записей служб. Так, Svc-Foo и Svc-Bar должен иметь возможность войти в систему как сервис на SRV-A1 и SRV-A2, пока Svc-Baz и Svc-Qux должен иметь возможность войти в систему как сервис на SRV-B1 и SRV-B2.
я считать Я мог бы сделать это с помощью Target Level Targeting, но я не понял, как его параметризовать. Прав ли я в этом? А это возможно?
В настоящее время домен находится на функциональном уровне 2008R2, но мы сможем поднять его до 2012R2 «довольно скоро», если потребуется.
Я не уверен, что вы сможете этого добиться - таргетинг на уровень элементов - это функция предпочтений групповой политики, и, насколько мне известно, не существует способа GPP для назначения прав «Вход в качестве службы».
Если бы вы могли найти эквивалентный ключ реестра, вы могли бы это сделать, но быстрый Google ничего не нашел.
Таким образом, за исключением этого, вам понадобится объект групповой политики на каждом уровне «Система [x]» или каждом уровне «Серверов».