Я пытаюсь включить автоматическую регистрацию сертификатов и роуминг учетных данных через объект групповой политики в домене ADS (контроллеры домена - это Windows Server 2008 R2). Я могу в интерактивном режиме войти в систему как новый пользователь (на рядовом сервере Windows Server 2012), и политика будет применена к этому пользователю. Однако, когда идентично созданный новый пользователь входит в систему как идентификатор службы, объект групповой политики не применяется, что я могу подтвердить, проверив его реестр, который загружается в HKU\<SID> пока служба работает.
Я начинаю подозревать, что объекты групповой политики не применяются к входам в сервисы намеренно, но я не могу подтвердить или опровергнуть это. Верно ли это, а если нет, как я могу определить, почему объект групповой политики не применяется к пользователю удостоверения службы?
Да, это правда.
В спецификации для параметров политики пользователя указано, что
Параметры политики пользователя указать возможности и поведение для интерактивно вошедшие в систему пользователи.
Если вы не вошли в систему в интерактивном режиме, вы находитесь вне зоны действия.
более того:
Когда групповые политики периодически обновляются таймером периодического обновления в документации говорится:
Этот таймер периодически запускается для проверки наличия обновленной политики для компьютера или для каждого пользователя, который интерактивно вошел в систему [...]