背景:
我的开发人员抱怨说他们不再能够在开发环境中运行 IIS,并且他们非常有用地将其归结为以下问题:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;297519
进一步研究后发现,似乎有人/某物改变了默认域组策略,将单个域管理员帐户添加到“登录”作为批处理作业权限。
这显然会清除所有工作站的默认设置。我们尚未查明发生这种情况的原因,但至少已经确定了补救方法。
已在单台机器上进行测试,确实将 IWAM_MACHINENAME 和 IUSR_MACHINENAME 添加到登录作为批处理作业权限允许开发人员像以前一样继续进行。
问题:
我不想到处跑,在公司的所有机器上手动执行此操作。相反,我希望能够以与之前相同的方式更正此问题 - 通过组策略。我的问题是,在设置策略时,如何添加帐户并用实际机器名称替换 MACHINENAME 部分?
更新:
我接受了下面 Evan 的回答,因为它确实解决了我所问到的具体问题。但是我有点愚蠢。删除错误的策略实际上导致所有原始分配在 GPUPDATE 之后返回。我忘记了它们不是被擦除,而是被覆盖了。情况就是这样,这让工作变得容易多了——一切都解决了!
答案1
哎呀。这些帐户没有众所周知的 SID。
我认为你最好的选择是获取“NTRights.exe”实用程序(参见http://support.microsoft.com/kb/315276),并编写一个脚本针对受影响的机器运行,以添加必要的权限。
ntrights.exe -u IUSR_%COMPUTERNAME% +r SeDenyBatchLogonRight