我今天早上花了大部分时间与供应商进行支持电话,我们最终通过手动将其应用程序使用的服务帐户添加到以下计算机配置/策略/
Windows设置/安全设置/本地策略/用户来解决我们的问题由域GPO设置的权限分配策略:
>备份文件和目录
>以批处理作业登录
>恢复文件和目录
重新启动服务器并获取更新的GPO后,我们的服务帐户在尝试启动应用程序时不再生成以下事件4625 – 登录类型4审核事件:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 7/22/2013 9:27:04 AM
Event ID: 4625
Task Category: logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: server.constco.com
Description:
An account Failed to log on.
Subject:
Security ID: SYSTEM
Account Name: server$
Account Domain: constco
logon ID: 0x3e7
logon Type: 4
Account For Which logon Failed:
Security ID: NULL SID
Account Name: service-account
Account Domain: constco
Failure Information:
Failure Reason: The user has not been granted the requested logon type at this machine.
Status: 0xc000015b
Sub Status: 0x0
供应商的文档指示我们将服务帐户添加到备份运算符和高级用户本地组 – 我们这样做了.阅读每个所需的用户权限分配策略的“说明”选项卡表示备份运算符默认具有这些权限(TechNet似乎确认this).顺便说一下,没有提到高级用户被分配了我可以找到的那些权利所以我不确定为什么这是一个要求.
>为什么我们必须明确地将该权限(备份文件和目录,作为批处理作业登录,还原文件和目录)分配给该服务帐户,因为它已成为Backup Operators Local的成员组?
>用户权限策略与内置本地组之间的关系是什么?用户权利政策是构成每个内置本地组的“元”权利的组成部分吗?如果是这样,我在哪里可以找到属于哪个bultin本地组的权利?
>如上所述,我们通过将我们的服务帐户添加到组策略对象来解决此问题,该组策略对象手动为这些特定权限分配了多个服务帐户.我从供应商的工程师那里得知这个GPO干扰了这些组成权利到本地组的映射.这种预感是否正确?以这种方式将组成用户权利分配给Bad Idea(TM)?
扫一扫
438
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
