Перво-наперво:
Несколько месяцев назад я устанавливал сервер WSUS на W2k12 R2 в доменной среде, и установка не удалась, потому что служба не смогла войти в систему после процедуры после установки. После небольшого устранения неполадок и поиска я нашел решение в Интернете, где было сказано, что я должен изменить некоторые настройки в политике домена по умолчанию, что я и сделал, вот ссылка для интереса:
Я добавил «NT SERVICE \ ALL SERVICES» в «Вход в качестве службы» в политике домена по умолчанию (Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Назначение прав пользователя> Вход в качестве службы), и все работало, и WSUS успешно установлен.
Теперь я заметил, что политика домена по умолчанию перезаписала параметр «Вход в качестве службы» на КАЖДОМ компьютере домена (Exchange, SQL Server, ПК и т. Д.), Поэтому старые настройки, например, (MSSQL $ SQLEXPRESS, IIS APPPOOL.NET 4.5) были перезаписаны глобально и сейчас не отображаются.
К проблеме:
Мне нужно вернуть все обратно сейчас, и я понятия не имею, что может случиться.
Итак, мои вопросы:
Спасибо заранее.
Я знаю, что это старый вопрос, но последний ответ / комментарии неверны (по крайней мере, для Windows 7 и Server 2012).
Я применил «Назначение прав пользователя» к «Входу в качестве службы» в GPO домена и заметил, что локальная политика не объединяется с политикой домена. Поэтому на локальном компьютере NT SERVICE \ ALL SERVICES был заменен настройкой из политики домена.
Я удалил / отключил политику домена, и вернулась исходная локальная политика.
Лучше всего оставить политику по умолчанию нетронутой и добавить столько политик поверх нее. Вы можете определить политику с течением времени, не связывая ее, в этом случае она не будет применяться. Когда вам нужно развернуть политику, вы можете связать ее с подмножеством тестовых машин, чтобы проверить влияние.
Политики применяются в неразрушающем порядке: если вы отключите нарушающую политику, вы отмените немедленный эффект (т. Е. Примененные вами настройки). Имейте в виду, что у вас не будет никаких побочных эффектов, вызванных вашими настройками.
Политики обрабатываются и применяются в следующем порядке: Local Group Policy object -> Site -> Domain -> Organizational units. Политики объединяются, если они не конфликтуют, в этом случае приоритет Organizational units > Domain > Site > Local Group Policy. Если к одному и тому же объекту применяется несколько политик, они будут применяться в том порядке, в котором они перечислены в консоли управления групповыми политиками, причем последний выигрывает.
Для получения дополнительной информации см. технет.
Изменение политики домена по умолчанию - плохая практика. И это пример того, почему.
Я бы порекомендовал вернуть политику домена по умолчанию обратно в значение по умолчанию Microsoft (которое, как мне кажется, пусто).
Право на вход в систему в качестве службы - это то, что вы хотите применить как можно более узко (например, для каждой машины). В противном случае вы в конечном итоге предоставляете разрешения на машинах, которые в этом не нуждаются (дыра в безопасности), или ваши приложения для прерывания, когда службы не запускаются.
Я бы создал объекты групповой политики для определения входа в систему как службы на каждом из ваших серверов, на которых есть учетные записи служб. Используйте безопасность или фильтрацию WMI, чтобы нацелить эти объекты групповой политики на только те серверы, которые в них нуждаются.
Вы можете определить список необходимых учетных записей, просмотрев список служб на каждом компьютере (отсортировать по имени учетной записи).
После настройки объектов групповой политики запустите gpupdate / force на каждом сервере, а затем перезагрузите его. Убедитесь, что все службы запускаются должным образом. Повторяйте, пока все ваши серверы не будут готовы. В первый раз это болезненно, но в будущем все станет менее хрупким и безопасным.
Вы не можете. Параметры безопасности татуированы в системе, поэтому все, что существовало до этого, было перезаписано (за исключением некоторых систем, которые находятся в подразделении, которое блокирует наследование, и политика домена по умолчанию не применяется / параметры были определены на более низком уровне).