我有一个批处理文件(不是我编写的),它可以让公司网络上的用户重置他们的时间和日期,以便他们获得正确的时间。
这是代码:
@echo off
cd psexec
psexec -u DOMAIN\administrator -p PASSWORD net time /set /y
正如您所见,这绝对是个糟糕的主意,因为任何用户都可以打开该文件并读取网络管理员的帐户密码。幸运的是,当我发现此代码时我们已经更改了密码。
由于这是一个有用的文件(但我不可能把管理员密码放在那儿),在 Active Directory 中是否有办法授予特定用户仅有的更改时间和日期的权限,以便它只能用于此目的?
答案1
这不是一个完整的答案,但是:
Windows 通常默认使用 NTP,加入域的 Windows 工作站通常使用其域控制器作为 NTP 时间服务器默认情况下。因此,请确保 DC 本身是同步的(它们可以从全局池中获取时间),它们的 NTP 端口没有被防火墙关闭,等等。
如果由于某种原因没有发生这种情况,你可以推送配置一次在所有计算机上使用 AD“组策略”,例如,如果您希望它们直接使用全局 NTP 池。
如果这不起作用,您可以使用组策略部署“登录脚本”,该脚本可以在用户登录期间运行,也可以在 PC 启动后立即运行。
如果那不起作用,您可以授予
SeSystemtimePrivilege普通用户,或者例如授予特殊INTERACTIVE标识符。同样,为此使用组策略,尽管它也可以通过本地方式使用secpol.msc- 在这两种情况下,它都称为“权限 → 更改系统时间”。上面的最后一点直接回答了你关于授予用户时间更改权限的原始问题。但我不确定是否值得创建一个分离只为此考虑(而不是让用户直接设置时间)——毕竟,每个人都可以在批处理文件中找到密码反正。