Windows - uprawnienia domeny do zmiany godziny i daty

0

Mam plik wsadowy (nie napisany przeze mnie), który pozwala użytkownikom w sieci firmowej zresetować swoją datę i godzinę, aby mieli prawidłową godzinę.

To jest kod:

@echo off

cd psexec
psexec -u DOMAIN\administrator -p PASSWORD net time /set /y

Jak widać, był to absolutnie okropny pomysł, ponieważ każdy użytkownik mógł otworzyć plik i odczytać hasło do konta administratora sieci. Na szczęście już zmieniliśmy hasło, kiedy odkryłem ten kod.

Ponieważ jest to przydatny plik (ale nie ma mowy, żebym zostawił hasło administratora po prostu leżąc), czy istnieje sposób w usłudze Active Directory, aby udzielić konkretnemu użytkownikowi tylko uprawnienia do zmiany godziny i daty, dzięki czemu można go używać tylko w tym celu?

windows permissions batch-file active-directory Hankrecords
źródło
1
Dlaczego istnieje nawet powód do zmiany godziny i daty, a nie tylko konfiguracji używania NTP dla systemu Windows?
Seth
@Seth Ponieważ wymagałoby to ręcznej konfiguracji każdego komputera, prawda? Użycie takiej partii pozwoliłoby użytkownikom zrobić to samodzielnie, bez konieczności podawania im niebezpiecznych poświadczeń. Ponadto te same uprawnienia, o które prosiłem w pytaniu, mogą być używane z W32TM do synchronizacji z serwerem domeny
Hankrecords,
4
Skonfigurowany ręcznie? Nie, nie zrobiłby tego. Nie tylko masz zasady grupy pozwalające na „wypchnięcie” konfiguracji, ale dołączył do stacji roboczych Windows domyślnie nawet próbują uzyskać czas z AD DC . Jeśli tak się nie dzieje, coś jest już źle skonfigurowane.
grawity
@grawity Cóż, nie wziąłem pod uwagę takiej ewentualności.
Przyjrzę

Odpowiedzi:

1

To nie jest pełna odpowiedź, ale:

  • System Windows zwykle domyślnie korzysta z protokołu NTP, a stacje robocze Windows przyłączone do domeny zwykle używają domyślnie kontrolera domeny jako serwera czasu NTP . Upewnij się więc, że same DC są zsynchronizowane (mogą uzyskać czas z globalnej puli), ich port NTP nie jest wyłączony zaporą ogniową i tak dalej.

  • Jeśli z jakiegoś powodu tak się nie dzieje, możesz przesłać konfigurację za pomocą AD „Zasad grupowych” na wszystkich komputerach jednocześnie, np. Jeśli chcesz, aby korzystały bezpośrednio z globalnej puli NTP.

  • Jeśli to nie zadziała, możesz użyć zasad grupy do wdrożenia „skryptu logowania”, który może być uruchamiany podczas logowania użytkownika lub natychmiast po uruchomieniu komputera.

  • Jeśli to nie pomoże, można przyznać SeSystemtimePrivilegedo zwykłych użytkowników, lub na przykład do specjalnego INTERACTIVEidentyfikatora. Ponownie użyj do tego zasad grupy, chociaż jest ona również dostępna lokalnie przez secpol.msc- w obu przypadkach nazywa się to „Uprawnienia → Zmień czas systemowy”.

  • Ostatni punkt bezpośrednio odpowiada na twoje pierwotne pytanie dotyczące nadawania użytkownikowi zmieniających czas uprawnień. Ale nie jestem pewien, czy warto utworzenie osobnego konta tylko, że (zamiast pozwolić użytkownikom ustawić czas bezpośrednio) - w końcu każdy może znaleźć swoje hasło w pliku wsadowym w każdym razie .

grawitacja
źródło
Właśnie odkryłem, że nasze PDC i wtórne DC są od siebie oddalone o około 5 minut. Czy jest jakiś sposób synchronizacji drugiego z W32TM, który mógłby powodować problemy / błędy?
Hankrecords,
Nie, powinno być dobrze. I tak wszystkie DC powinny się automatycznie synchronizować. (Być może z pool.ntp.org.)
grawity