Я понимаю, что это название сразу звучит как плохая идея, поэтому я обосновываю необходимость в дополнение к описанию проблемы.
Необходимость изменения системного времени
Недавно я установил систему Windows Server 2012 Essentials для клиента, впервые реализовав доменную структуру для офиса медицинских услуг, у которого раньше были компьютеры без пароля. Это большое изменение и несколько разрушительное. У них 3 рабочих места, 6-8 сотрудников, в зависимости от них, и некоторое количество людей, перемещающихся по ним. Я заменил рабочую станцию, которая является лучшим местом для их бухгалтера для проводки транзакций, и, чтобы сделать это с наименьшими трудностями, она до сих пор меняла системное время. Чтобы не навязывать новый рабочий процесс, я хотел бы позволить ей делать это в течение следующих нескольких месяцев, пока они не уйдут из системы, которая требует этого рабочего процесса.
В настоящее время только один другой компьютер присоединен к домену - другой компьютер работает под управлением Windows XP Home и будет присоединен к домену при его замене. Я полностью понимаю мудрость не менять время контроллера домена волей-неволей, но думаю, что отказ от этого будет более разрушительным для их бизнеса прямо сейчас. Поскольку они не являются корпоративной средой и представляют собой малый бизнес, пытающийся использовать свои ресурсы, я считаю это довольно безопасным. Не стесняйтесь доказать, что я неправ, если я собираюсь совершить настоящую катастрофу.
Эта проблема
Насколько я понимаю, лучший способ дать бухгалтеру такую возможность - сделать ее частью группы операторов сервера, поскольку у них есть разрешение на изменение системного времени в групповой политике. Я думал о том, чтобы выдать это разрешение как разовое, но группа «Операторы сервера» показалась мне подходящей для этого офиса, поскольку людям потребуются некоторые другие назначенные ей разрешения (перезагрузка и т. Д.).
Проблема в том, что это не работает, и я не могу найти никакой документации о том, почему. Я подтвердил, что она является участником группы, запустил gpupdate / FORCE, перезагрузил сервер, и она все еще не может изменить время (но моя учетная запись администратора может). Другие разрешения, связанные с группой (изменение часового пояса), похоже, работают должным образом, и она может выполнять эти функции. Я также подтвердил, что у операторов серверов есть это разрешение в групповой политике в политике контроллеров домена по умолчанию, которая, похоже, применяется. Запрос UAC с запросом учетных данных продолжает появляться, когда она пытается изменить время.
В результате я предполагаю, что мне что-то не хватает и что я что-то применил неправильно, что-то в цепочке где-то не установлено по умолчанию, и я предположил, что это так, или что что-то запрещает это действие, отменяет исходное разрешение.
Альтернативой, которую некоторые могут рассмотреть, поскольку я уже говорю о предоставлении ей возможности изменять время, является предоставление ей дополнительной учетной записи администратора, с помощью которой можно изменять время. Но я пока не желаю этого делать, поскольку считаю, что существует лучший и более безопасный вариант, и отчасти причина, по которой я выбрал модель домена в этом офисе, заключалась в том, что ранее они сделали неправильный выбор с учетными данными администратора. Я бы очень хотел найти решение или обходной путь, который не дает им больше разрешений, чем им нужно для эффективного выполнения своей работы.
У кого-нибудь есть опыт работы с этой проблемой? Группа операторов сервера - это правильный маршрут? Спасибо за вашу помощь.
Редактировать: Подробный ответ на вопросы ниже. Я понимаю, что это может привести к сбою основных функций. Как правило, они, как правило, входят в систему один раз в начале дня и остаются в ней. Я надеюсь, что это не будет мешать работе других компьютеров. Если это так, мы найдем другой обходной путь, чтобы они лучше понимали ситуацию. Насколько я понимаю, процесс публикации заключается в том, что они должны быть отправлены с той же датой, что и день обслуживания, но бухгалтер приходит только через несколько дней в неделю. Мы переходим к системе, которая позволяет ей устанавливать время в публикации, а не в масштабе всей системы.
Контроллер домена используется как рабочая станция по необходимости. У них нет денег на множество компьютеров, но я думаю, что они извлекают выгоду из некоторых преимуществ наличия домена и т. Д. Это был тщательно продуманный компромисс, хотя я понимаю, что это противоречит лучшим практикам.
Я надеялся, что это умрет на SU, но, поскольку он перемещен сюда, я выскажу вам свое профессиональное мнение о ситуации.
Если конечному пользователю необходимо войти на этот сервер, он не должен быть контроллером домена. Период. Не обращайте внимания на всю чушь и все прочее, что только подкрепляет это утверждение. Конечные пользователи не должны входить на серверы, которые не являются правильно настроенными серверами терминалов. Ни один сервер не должен иметь произвольное изменение времени, если он является членом домена или контроллером домена. Конечные пользователи не должны иметь прав на выполнение этих действий.
Купите для этого пользователя дешевую рабочую станцию, на которой он сможет запускать это программное обеспечение, или позвольте ему использовать этот сервер, но понизьте его статус, чтобы он не был контроллером домена. Дайте им виртуальную машину, в которой они могут использовать RDP для запуска этого программного обеспечения. Вариантов масса. На самом деле честно делайте все, кроме того, что делаете прямо сейчас.
Изменить: я также отмечу, что использование RDP для конечных пользователей для выполнения приложений на сервере без лицензирования служб удаленных рабочих столов (бывших служб терминалов) является нарушением лицензионного соглашения, и вы, вероятно, не пройдете аудит лицензий и будете оштрафованы от Microsoft, если они когда-нибудь узнают. Два сеанса RDP с сервером, которые разрешены "бесплатно", предназначены для удаленного администрирования сервера, а не для использования его в качестве рабочей станции для повседневной работы.