У меня есть пакетный файл (не написанный мной), который позволяет пользователям в сети компании сбрасывать свое время и дату, чтобы у них было правильное время.

Это код:

@echo off

cd psexec
psexec -u DOMAIN\administrator -p PASSWORD net time /set /y

Как видите, это была абсолютно ужасная идея, поскольку любой пользователь мог открыть файл и прочитать пароль учетной записи администратора сети. К счастью, мы уже сменили пароль, когда я обнаружил этот код.

Поскольку это полезный файл (но я не оставлю пароль администратора просто так), есть ли способ в Active Directory предоставить конкретному пользователю только разрешение на изменение времени и даты, чтобы его можно было использовать только для этой цели?

|источник

1 ответ1

1

Это не полный ответ, но:

  • Windows обычно использует NTP по умолчанию, а присоединенные к домену рабочие станции Windows обычно используют свой контроллер домена в качестве сервера времени NTP по умолчанию. Поэтому убедитесь, что сами контроллеры домена синхронизированы (они могут получать свое время из глобального пула), их NTP-порт не отключен и так далее.

  • Если по какой-то причине этого не происходит, вы можете перенести настройку с помощью AD "Групповая политика" на все ваши компьютеры одновременно, например, если вы хотите, чтобы они напрямую использовали глобальный пул NTP.

  • Если это не сработает, вы можете использовать групповую политику для развертывания "сценария входа в систему", который может выполняться либо во время входа пользователя, либо сразу после загрузки ПК.

  • Если это не работает, вы можете предоставить SeSystemtimePrivilege обычных пользователей, или, например , к специальному INTERACTIVE идентификатору. Опять же, используйте для этого групповую политику, хотя она также доступна локально через secpol.msc - в обоих случаях она называется «Привилегии → Изменить системное время».

  • Последний пункт выше прямо отвечает на ваш первоначальный вопрос о предоставлении пользователю изменяющихся во времени привилегий. Но я не уверен, стоит ли для этого создавать отдельную учетную запись (вместо того, чтобы позволить пользователям устанавливать время напрямую) - в конце концов, каждый может найти свой пароль в вашем командном файле в любом случае.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .