我需要允许标准域用户访问 Windows 7 上的资源监视器,而无需将他们添加到任何本地计算机上的管理员组中。是否有允许这样做的域 GPO 设置?
目前,如果他们尝试访问它,系统会提示他们输入管理凭据。
我已经在 GPME 中搜索过,但无法自己找到设置。
编辑我想我可能做不到这一点。资源监视器还允许停止和启动进程,因此需要提升权限才能启动它。
答案1
用户需要是本地“管理员”或“性能监视器用户”组的成员。
此外,我发现用户或用户所属的组需要
log on as a batch job
和Create Global Object right
。
找到此信息的关键是启用Local Computer Policy/Computer Configuration/Security Settings/Local Policies/Audit Policy/Audit object access
并将其设置为审核失败,然后运行资源监视器。收到消息后Access Denied
,查看事件查看器安全日志,您应该会找到一个或多个“审核失败”事件。它们会为您指明正确的方向。您可能需要启用其他一些审核才能确定这一点,但对我来说这不是必需的。
答案2
我相信您正在寻找Profile system performance
可以通过 GPO 进行配置的用户权限分配;。
请注意,这是在“计算机配置”下配置的,而不是“用户配置”,因为这是授予计算机上用户或用户组的权利。
还要注意,您应该记下已经拥有此权限的用户/组,以便在实施 GPO 设置时可以“重新分配”此权限。
答案3
您需要让用户成为管理员的成员或者性能监视器用户组。回到 Server 2008/Vista,您必须授予用户log on as a batch job
权限。我没有在 2008 R2/Windows 7 的文档中看到该先决条件,但需要记住的是,如果将用户添加到性能监视器用户组还不够,则需要注意这一点。
当然,可以通过 GPO 或 GPP 将用户添加到本地组。