Я не очень хорошо разбираюсь в администраторах серверов, но, когда нужно, у меня все получается.
Прямо сейчас я запускаю некоторое программное обеспечение COTS на машине Windows 2008 Server. Программа установки программного обеспечения создает несколько учетных записей пользователей для запуска своих процессов, а затем дает этим пользователям право «входить в систему в качестве пакетного задания».
Время от времени (например, вчера в 14:52 и сегодня утром в 7:50) эти права исчезают. После этого программа перестает работать. Я могу проверить, что права пользователя утеряны, используя
secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS
и у меня есть сценарий, который делает это каждые 30 секунд и записывает результаты с отметкой времени, поэтому я знаю, когда пропадают права.
Что я вижу из экспорта, так это то, что в «хорошем» состоянии, то есть после того, как я установил программное обеспечение и оно работает правильно, строка для SeBatchLogonRight из экспорта secedit включает учетные записи пользователей, созданные программным обеспечением. Но каждые несколько часов (иногда и больше) эти учетные записи пользователей удаляются из этой строки. То же самое можно увидеть, используя инструмент GUI. Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job: в «хорошем» состоянии эта политика включает необходимые учетные записи пользователей, а в плохом - нет.
На основании вышеупомянутого сценария ведения журнала и отметок времени, когда права пользователя удаляются, я могу ясно видеть, что некоторые GPO вызывают изменение. Журнал операций GPO показывает, что объекты GPO обрабатываются точно в нужное время. Например.:
Starting Registry Extension Processing.
List of applicable GPOs: (Changes were detected.)
Local Group Policy
Я запускал GPO по запросу, используя gpupdate /force, и смог проверить, что это привело к удалению прав пользователя.
Мы внимательно изучали локальные групповые политики, пытаясь выяснить, какая из них может лишать этих прав пользователя, чтобы «входить в систему как пакетное задание». Мы не настроили на этом компьютере какие-либо локальные групповые политики, о которых нам известно; так есть ли локальная групповая политика по умолчанию, которая обычно может делать такие вещи? Существуют ли типичные политики домена, позволяющие это сделать?
Я работал с нашими коллегами из ИТ-персонала, чтобы устранить проблему, но никто из них не является экспертом по группам GPO ... Они носят много шляп и делают то, что им нужно, чтобы поддерживать работу большинства вещей.
Любые предложения будут ценны!
В этом вам поможет инструмент «Результирующий набор политик»; он находится внизу левой боковой панели консоли управления групповой политикой.
Наведите его на машину, затем на вкладке настроек вы найдете каждый элемент, установленный политиками, применяемыми к системе, и от того, из какого объекта групповой политики был получен этот параметр.