我有一个用于开发的非常基本的域。我想创建一个 GPO,为备份操作员组中的用户提供特定服务器上两个特定服务的启动/停止权限。
我读过几篇关于此问题的文章,它们都表明这很容易。创建一个 GPO,授予用户对计算机配置 > 策略 > Windows 设置 > 安全设置 > 系统服务下服务的启动/停止权限,然后就大功告成了。
不是很多,但我肯定做错了什么。
我的安装基本都是默认的。域控制器位于域控制器 OU 中,备份操作员组位于 Builtin 下,我在用户下创建了一个名为 Backup 的用户。
我创建了一个 GPO 并将其链接到域控制器 OU。在 GPO 中,我授予备份用户启动/停止服务器上两个特定服务的权限。我使用 gpupdate 强制更新。我使用组策略结果来验证我的 GPO 是获胜的 GPO,授予用户启动/停止这两个服务的权限。
但是,用户仍然无法启动/停止服务。我尝试在 GPO 上进行不同的环回设置,但无济于事。
我有点不知所措。
答案1
为了后人...我不知道我之前做错了什么,但是我重新审视了这个问题,并且能够使用我上面描述的带有组策略对象的精确过程使其工作两次(第二次只是为了确保我没有疯)。
我能想到的唯一可能做的不同的事情是赋予备份用户读取权限以及服务的启动/停止/重新启动权限。
感谢那些提供帮助的人。
答案2
远程登录需要管理员权限才能在 DC 上执行任何管理。GPO 不会有帮助。而且域控制器上没有用户组。