Windows - дозволи домену на зміну часу та дати

0

У мене є пакетний файл (не написаний мною), який дозволяє користувачам у всій мережі компанії скидати час і дату, щоб вони мали правильний час.

Це код:

@echo off

cd psexec
psexec -u DOMAIN\administrator -p PASSWORD net time /set /y

Як бачите, це була абсолютно жорстока ідея, оскільки будь-який користувач міг відкрити файл і прочитати пароль облікового запису адміністратора мережі. На щастя, ми вже змінили пароль, коли я виявив цей код.

Оскільки це корисний файл (але я не можу залишити пароль адміністратора просто лежачи), чи існує спосіб Active Directory надати конкретному користувачеві лише дозвіл на зміну часу та дати, щоб ним можна було користуватися лише з цією метою?

windows  permissions  batch-file  active-directory 
Hankrecords
джерело
1
Чому є навіть якась причина змінити час і дату, а не просто налаштувати використання NTP для Windows?
Сет
@Seth Оскільки це вимагатиме налаштування кожного комп'ютера вручну, чи не так? Використання такої партії дозволить користувачам робити це самостійно, не надаючи їм небезпечних даних. Крім того, ті самі дозволи, які я запитував у запитанні, можуть використовуватися з W32tm для синхронізації з сервером домену
Hankrecords
4
Налаштовано вручну? Ні, не буде. Мало того, що у вас є групова політика, яка дозволяє конфігурацію "витіснити", приєднавшись до робочих станцій Windows, навіть намагаєтесь отримати час від AD DC за замовчуванням . Якщо цього не відбувається, щось вже неправильно налаштовано.
grawity
@grawity Ну, я не враховував цю подія. Я
вивчу

Відповіді:

1

Це не повна відповідь, але:

  • Windows зазвичай використовує NTP за замовчуванням, а робочі станції Windows, що приєдналися до домену, зазвичай використовують свій контролер домену як сервер часу NTP за замовчуванням. Тому переконайтеся, що самі постійні токи синхронізовані (вони можуть отримати свій час із глобального пулу), їхній порт NTP не буде скасований і так далі.

  • Якщо з якихось причин цього не відбувається, ви можете натиснути конфігурацію за допомогою "Групової політики" AD на всіх ваших комп'ютерах відразу, наприклад, якщо ви хочете, щоб вони безпосередньо використовували глобальний пул NTP.

  • Якщо це не працює, ви можете скористатися груповою політикою для розгортання "скрипту входу", який можна запускати під час входу користувачів або відразу після завантаження ПК.

  • Якщо що не працює, ви можете надати SeSystemtimePrivilegeзвичайним користувачам, або, наприклад , до спеціальних INTERACTIVEідентифікатором. Знову ж, використовуйте для цього групову політику, хоча вона також доступна локально через secpol.msc- в обох випадках вона називається "Привілеї → Зміна системного часу".

  • Останній пункт вище безпосередньо відповідає на ваше початкове запитання щодо надання користувачеві привілеїв, що змінюють час. Але я не впевнений , чи варто створювати окремий рахунок тільки для цього (замість того , щоб дозволити користувачам встановлювати час безпосередньо) - в кінці кінців, кожен може знайти свій пароль в пакетному файлі в будь-якому випадку .

зернистість
джерело
Я щойно виявив, що наш PDC та вторинний постійний струм знаходяться приблизно в 5 хвилинах від інших. Чи може якийсь спосіб синхронізації вторинного з w32tm спричинити проблеми / помилки?
Hankrecords
Ні, це повинно бути добре. Усі постійні джерела постійного струму повинні бути автоматично синхронізовані. (Можливо, з pool.ntp.org.)
grawity
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.