Jak znaleźć i wyłączyć zasadę pierwszeństwa, która wyszarza zasadę „Zaloguj się jako zadanie wsadowe”

0

Po wielu kopaniach przy użyciu rsop.msc doszedłem do wniosku, że zasady pierwszeństwa PC - Windows 10 - OS - Global - (release v3.14) - CUuniemożliwiają Log on as a batch jobedytowanie zasad w gpedit.msc.

Nie mogę znaleźć PC - Windows 10 - OS - Global - (release v3.14) - CUw gpedit.msc przy użyciu jego bardzo ograniczonych możliwości wyszukiwania.

Jak zlokalizować i wyłączyć tę zasadę pierwszeństwa lokalnie przy użyciu uprawnień administracyjnych?

wprowadź opis zdjęcia tutaj

windows windows-10 batch group-policy Shuzheng
źródło
Czy ten komputer jest w domenie? Ta nazwa zasad może być nazwą obiektu zasad grupy w usłudze Active Directory.
Ben N
@BenN - może być. Jak wyłączyć zasady z AD przy użyciu uprawnień administratora lokalnego?
Shuzheng
Możesz majstrować przy Rejestrze, ale zasady domeny prawdopodobnie po prostu zostaną ponownie zastosowane. Jeśli komputer należy do domeny, musisz porozmawiać z administratorem domeny (działem IT).
Ben N
@BenN - czy możesz opracować sposób edycji rejestru, aby tymczasowo wyłączyć zasady grupy domen? Czy można pozostać w domenie, ale zablokować stosowanie zasad grupy domen przy ponownym uruchomieniu?
Shuzheng

Odpowiedzi:

1

Uwaga! Jeśli komputer jest zarządzany przez dział IT, firma może nie być bardzo zadowolona z obchodzenia zasad IT. Najpierw spróbuj porozmawiać z administratorem domeny.

Okazuje się, że można zmieniać przypisania uprawnień za pomocą odpowiedniego interfejsu API, nawet w obecności zasad. Aby to zrobić z wiersza polecenia, możesz użyć narzędzia NTRights z zestawu Windows Server 2003 Resource Kit . Użyj tego polecenia, aby przyznać prawo do wsadowego logowania:

ntrights -u USERNAME +r SeBatchLogonRight

Zamień USERNAMEna żądanego użytkownika lub grupę. Zmiana wejdzie w życie przy następnym logowaniu dotkniętego użytkownika. Przystawka Lokalne zasady bezpieczeństwa będzie odzwierciedlała zmianę, ale nadal nie pozwoli ci graficznie edytować ustawienia. Zasady domeny mogą zostać ponownie zastosowane po edycji tego obiektu zasad grupy, a gpupdate /forcelub ponownego uruchomienia. Może być konieczne utworzenie zaplanowanego zadania, aby uruchomić to polecenie NTRights podczas uruchamiania systemu.

Ben N.
źródło
Dziękuję Ci. Ale NIE można całkowicie pozbyć się tych zasad domeny - możesz je tylko zmodyfikować?
Shuzheng,
@Shuzheng W przypadku zasad w gałęzi Rejestru szablonów administracyjnych bardzo łatwo jest je usunąć (przynajmniej tymczasowo), ale Przypisywanie praw użytkownika używa innego mechanizmu. Przy wielu kłopotach można usunąć księgowość odpowiedzialnego obiektu GPO, ale wykonanie tego w taki sposób, że nie będzie można go ponownie zastosować, prawie na pewno zepsuje wszelkie inne aktualizacje zasad. Strategia, którą opisałem, jest skuteczna (przynajmniej tymczasowo) i nieinwazyjna.
Ben N
Dziękuję - co oznacza GPO?
Shuzheng,
@Shuzheng „Obiekt zasad grupy” - domena może mieć wiele obiektów zasad grupy; zasady zastosowane do określonego komputera / użytkownika są kombinacją ustawień z obiektów zasad grupy, które go dotyczą.
Ben N
Czy te zasady, które włączasz za pomocą gpedit.msc, nazywane są również „obiektami GPO”? Czy ten termin ma zastosowanie tylko do zasad pochodzących z domeny?
Shuzheng,