Настройка политик назначения прав пользователей через GPO

jshizzle

14.01.2023, 13:47

Я настраиваю объект групповой политики, чтобы добавить локальную группу в политику прав пользователя, однако при настройке через объект групповой политики все существующие члены этого права удаляются из приложения объекта групповой политики. Очевидно, вы можете добавить всех пользователей в объект групповой политики, чтобы убедиться, что они сохранены, но когда пользователь является только локальным для удаленного сервера, например. NT SERVICE\SQLSERVERAGENT, его нельзя добавить в объект групповой политики из контроллера домена, который его просто не распознает.

Прав ли я, предполагая, что это случай использования GPO, когда права пользователя должны содержать только учетные записи/группы домена, встроенных пользователей/групп, но если необходимо добавить дополнительные типы пользователей, вместо этого следует использовать добавление вручную?

Обидно, если последнее. Можно было бы настроить это через GPP, как вы можете с локальными пользователями/группами, и иметь возможность сохранить существующих участников, которые будут учитывать это первоначальное наблюдение.

Ваше здоровье Джейми

205

0 + 0

групповая политика

Рейтинг:3

Server

yagmoth555

14.01.2023, 14:00

В таком конкретном случае откройте консоль групповой политики с самого SQL-сервера, вам потребуется установить инструмент RSAT. Варианты различаются, так как он обнаружит вашего локального пользователя и позволит вам выбрать его при редактировании объекта групповой политики.

Имейте в виду, что объект групповой политики не будет правильно применяться на сервере, где этого локального пользователя не существует.

0 + 0

jshizzle

14.01.2023, 16:39

Я задавался вопросом, был ли это способ сделать это, но не хотел устанавливать инструменты RSAT на сервер, особенно в среде, в которой есть много инструментов безопасности, отслеживающих изменения, просто чтобы иметь возможность добавлять локальных пользователей. Это по-прежнему не устраняет нежелательное удаление существующих пользователей/групп при применении объекта групповой политики, но, похоже, именно так работает конфигурация политики прав пользователей. Определенно что-то, что могло бы сделать с некоторым улучшением, на мой взгляд.

Ответить

yagmoth555

14.01.2023, 17:52

@jshizzle Я согласен, что нежелательное удаление - это головная боль, но с другой точки зрения, оно гарантирует, что никто не играл с локальной группой, поэтому последнее слово остается за вашим объектом групповой политики.

Ответить

Admin

Этот вопрос на других языках:

EN: Configuring User Rights Assignment policies via GPO

TH: การกำหนดค่านโยบายการกำหนดสิทธิ์ของผู้ใช้ผ่าน GPO

RO: Configurarea politicilor de atribuire a drepturilor utilizatorului prin GPO

RU: Настройка политик назначения прав пользователей через GPO

VI: Định cấu hình chính sách Chuyển nhượng quyền người dùng qua GPO

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.