私はあまりサーバー管理者ではありませんが、必要なときに足を濡らします。
現在、Windows 2008ServerマシンでいくつかのCOTSソフトウェアを実行しています。ソフトウェアインストーラーは、プロセスを実行するためのいくつかのユーザーアカウントを作成し、それらのユーザーに「バッチジョブとしてログオン」する権利を与えます。
時々(たとえば、昨日の午後2時52分、今朝の午前7時50分)、これらの権利は消滅します。その後、ソフトウェアは動作を停止します。を使用して、ユーザー権限がなくなったことを確認できます
secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS
そして、これを30秒ごとに実行し、タイムスタンプを付けて結果をログに記録するスクリプトを持っているので、権限がいつなくなるかわかります。
エクスポートからわかるのは、「良好」な状態、つまりソフトウェアをインストールして正しく機能した後、seceditエクスポートからのSeBatchLogonRightの行に、ソフトウェアによって作成されたユーザーアカウントが含まれていることです。ただし、数時間ごと(場合によってはそれ以上)に、それらのユーザーアカウントはその行から削除されます。 GUIツールLocal Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job
を使用しても同じことがわかります。「良好」状態では、そのポリシーには必要なユーザーアカウントが含まれ、不良状態では、ポリシーには含まれません。
上記のログスクリプトとユーザー権利が削除されるタイムスタンプに基づいて、一部のGPOが変更を引き起こしていることがはっきりとわかります。 GPO操作ログには、GPOが正確に適切なタイミングで処理されていることが示されます。例:
Starting Registry Extension Processing.
List of applicable GPOs: (Changes were detected.)
Local Group Policy
私はgpupdate /force
を使用してオンデマンドでGPOを実行しており、これによりユーザー権利が削除されることを確認できました。
私たちは、目が交差するまでローカルグループポリシーを調べ、「バッチジョブとしてログオン」するためにこれらのユーザー権限を剥奪する可能性のあるポリシーを特定しようとしました。このマシンには、知っているローカルグループポリシーを設定していません。それで、通常そのようなことをするかもしれないデフォルトのローカルグループポリシーはありますか?これを行う典型的なドメインポリシーはありますか?
私はITスタッフの同僚と協力して問題のトラブルシューティングを行ってきましたが、実際には誰もGPO専門家ではありません...彼らは多くの帽子をかぶっており、ほとんどのものを実行し続けます。
どんな提案も大歓迎です!
「結果のポリシーセット」ツールは、ここで役立ちます。これは、グループポリシー管理コンソールの左側のサイドバーの下部にあります。
マシンに向けると、[設定]タブで、システムに適用されているポリシーによって設定された各項目と、その設定の元となったGPO)が表示されます。