我意识到这个标题听起来像是不是一个好主意,所以除了描述问题之外,我还要证明这种必要性。
需要更改系统时间
我最近为客户设置了 Windows Server 2012 Essentials 系统,这是第一次在以前没有密码的计算机的医疗服务办公室实施基于域的结构。这是一个很大的变化,而且有点混乱。他们有 3 个工作站,6-8 名员工,视情况而定,还有一些人来往。我替换的工作站是他们的簿记员发布交易的最佳位置,为了以最少的麻烦来做到这一点,她一直在更改系统时间,直到现在。为了不强加新的工作流程,我想允许她在接下来的几个月内这样做,直到他们不再使用需要该工作流程的系统。
目前,只有另一台计算机加入了域 - 另一台计算机运行的是 Windows XP Home,在更换时将加入域。我完全理解不随意更改域控制器时间的明智之举,但我认为不允许这样做会对他们目前的业务造成更大的破坏。由于他们不是企业环境,而是一家试图利用其资源的小型企业,因此我认为这是相当安全的。如果我即将造成真正的灾难,请随时证明我错了。
问题
我的理解是,赋予簿记员这种能力的最佳方式是让她成为“服务器操作员”组的一部分,因为他们在组策略中拥有“更改系统时间”权限。我曾考虑过一次性发放该权限,但“服务器操作员”组似乎很适合这个办公室,因为人们将需要分配给它的其他一些权限(重新启动等)。
问题是,它似乎不起作用,我找不到任何文档来解释原因。我已验证她是该组的成员,运行 gpupdate /FORCE,重新启动服务器,但她仍然无法更改时间(但我的管理员帐户可以)。与该组相关的其他权限(更改时区)似乎按预期工作,她可以执行这些功能。我还验证了服务器操作员在默认域控制器策略的组策略中拥有该权限,该权限似乎已应用。当她尝试更改时间时,要求输入凭据的 UAC 提示不断弹出。
因此,我认为我遗漏了某些东西,我没有正确应用某些东西,链中的某些东西没有默认设置,而我假设它是默认设置的,或者某些东西禁止该操作,覆盖了原始权限。
既然我已经谈到赋予她更改时间的能力,那么有些人可能会考虑的替代方案是给她一个辅助管理员帐户来更改时间。但我现在还不愿意这么做,因为我相信存在更好、更安全的选择,而我在这个办公室采用域模型的部分原因是他们之前在管理员凭据方面做出了糟糕的选择。我非常希望找到一种解决方案或解决方法,不会给他们任何比他们有效完成工作所需的权限更多的权限。
有人遇到过这个问题吗?服务器操作员组是正确的路线吗?谢谢你的帮助。
编辑:对以下问题的长篇回答。我确实知道这会导致基本功能失效。大多数情况下,他们倾向于在一天开始时登录一次并保持登录状态。我希望它不会干扰其他计算机。如果确实如此,我们会找到另一种解决方法,让他们更好地了解情况。我对发布过程的理解是,他们必须在与服务日相同的日期发布,但簿记员每周只在几天。我们正在过渡到一个系统,让她在发布中设置时间,而不是在系统范围内设置时间。
出于必要,域控制器被用作工作站。他们没有钱购买大量计算机,但我认为他们受益于拥有域等的一些优势。这是一个经过深思熟虑的权衡,尽管我知道这违背了最佳实践。
答案1
我本来希望这会在 SU 上消失,但既然它已经移到这里,我就针对此情况给出我的专业意见。
如果最终用户需要登录此服务器,则它不应是域控制器。就这样。别在意整个时间的胡言乱语和其他一切,这只会强化这一说法。最终用户不应登录未正确配置终端服务器的服务器。当服务器是域或域控制器的成员时,不应任意更改时间。任何最终用户都不应有权执行这些操作。
为该用户购买一个便宜的工作站,让他们可以在上面运行该软件,或者让他们使用这台服务器,但将其降级,使其不再是 DC。为他们提供一台虚拟机,让他们可以通过 RDP 进入该虚拟机来运行该软件。有很多选择。除了你现在正在做的事情之外,真的可以做任何事情。
编辑:我还要指出的是,最终用户使用 RDP 在未获得远程桌面服务(以前称为终端服务)许可的服务器上执行应用程序违反了 EULA,如果微软发现,您很可能会无法通过许可审核,并受到罚款。允许“免费”与服务器进行的两个 RDP 会话用于服务器的远程管理,而不是将其用作日常工作的工作站。