哪个 GPO 删除了“作为批处理作业登录”用户权限？

我不太擅长服务器管理，但是必要时我也会尝试一下。

目前，我正在 Windows 2008 Server 计算机上运行一些 COTS 软件。软件安装程序会创建一些用户帐户来运行其进程，然后授予这些用户“以批处理作业身份登录”的权限。

时不时地（例如昨天下午 2:52 和今天早上 7:50），这些权限就会消失。然后软件就会停止工作。我可以通过以下方式验证用户权限是否消失：

secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS

我有一个脚本，每 30 秒执行一次此操作，并使用时间戳记录结果，这样我就能知道权利何时消失。

我从导出中看到，在“良好”状态下，即在我安装软件并且它正常运行后，secedit 导出中的 SeBatchLogonRight 行包含由软件创建的用户帐户。但每隔几个小时（有时更多），这些用户帐户就会从该行中删除。使用 GUI 工具可以看到相同的情况Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job：在“良好”状态下，该策略包含所需的用户帐户，而在不良状态下，该策略不包含。

根据上述日志脚本和删除用户权限的时间戳，我可以清楚地看到某些 GPO 导致了更改。GPO 操作日志显示 GPO 在正确的时间被处理。例如：

Starting Registry Extension Processing. 

List of applicable GPOs: (Changes were detected.) 

Local Group Policy 

我已经使用按需运行了 GPO gpupdate /force，并且能够验证这是否导致用户权限被删除。

我们仔细检查了本地组策略，直到眼花缭乱，试图找出哪一个可能剥夺了这些用户“以批处理作业登录”的权限。据我们所知，我们尚未在这台机器上配置任何本地组策略；那么是否存在通常可以执行此类操作的默认本地组策略？是否存在可以执行此操作的典型域策略？

我一直在与我们的 IT 员工同事合作解决问题，但他们中没有人是真正的 GPO 专家......他们身兼数职，他们做他们需要做的事情以保持大多数事情正常运转。

任何建议将不胜感激！