このタイトルはすぐに悪い考えのように聞こえるので、問題を説明することに加えて、必要性を正当化します。
システム時刻を変更する必要があります
私は最近、クライアント用にWindows Server 2012 Essentialsシステムをセットアップしました。これは、以前はパスワードのないコンピューターがあった医療サービスオフィスにドメインベースの構造を初めて実装したものです。これは大きな変化であり、やや破壊的です。彼らには3台のワークステーションがあり、6〜8人の従業員がいます。私が交換したワークステーションは、簿記係がトランザクションを投稿するのに最適な場所であり、最小限の苦痛でそれを行うために、彼女はこれまでシステム時間を変更してきました。新しいワークフローを課さないために、そのワークフローを必要とするシステムから移動するまで、彼女が今後数か月間そうすることを許可したいと思います。
現在、他の1台のコンピューターのみがドメインに参加しています-他のコンピューターはWindows XP Homeを実行しており、交換するとドメインに参加します。ドメインコントローラーの時間を変更しないという知恵を十分に理解しています。彼らはエンタープライズ環境ではなく、そのリソースを使おうとしている中小企業なので、私はそれを許可しないことは彼らのビジネスにもっと混乱をもたらすだろうと思います。私が間違っていることを証明してください。本当の惨事を犯そうとしています。
問題
私の理解では、ブックキーパーにこの機能を与える最善の方法は、ブックキーパーにサーバーオペレーターグループの一部にすることです。これは、ブックキーパーがグループポリシーでシステム時刻の変更権限を持っているためです。その権限を1回限りで配布することを考えましたが、サーバーオペレーターグループは、他の権限(再起動など)が必要になるため、このオフィスに適しているように見えました。
問題は、それが機能していないようであり、その理由に関するドキュメントが見つからないことです。彼女がグループのメンバーであることを確認し、gpupdate/FORCEを実行してサーバーを再起動しましたが、それでも時刻を変更できません(ただし、私の管理者アカウントでは変更できます)。グループに関連する他の権限(タイムゾーンの変更)は期待どおりに機能しているようで、彼女はそれらの機能を実行できます。また、サーバーオペレーターが、適用されているように見えるデフォルトのドメインコントローラーポリシーのグループポリシーでそのアクセス許可を持っていることを確認しました。資格情報を要求するUACプロンプトは、時間を変更しようとするとポップアップし続けます。
その結果、何かが足りず、正しく適用されていない、チェーン内のどこかにデフォルトで設定されていない、または設定されている、または何かがそのアクションを禁止していると想定しています。元の権限を上書きします。
私はすでに彼女に時間を変更する機能を与えることについて話しているので、一部の人が考えるかもしれない代替案は、彼女に時間を変更するためのセカンダリ管理者アカウントを与えることです。しかし、私はまだそうするつもりはありません。より良い、より安全なオプションが存在すると信じており、このオフィスでドメインモデルを採用した理由の一部は、以前は管理者の資格情報で不適切な選択を行っていたためです。彼らが仕事を効果的に行うために必要な以上の許可を与えない解決策または回避策を見つけたいと思います。
誰かがこの問題の経験がありますか?サーバーオペレーターグループは正しいルートをたどっていますか?ご協力いただきありがとうございます。
編集:以下の質問への長い回答。基本的な機能が失敗する可能性があることは理解しています。ほとんどの場合、彼らは一日の初めに一度ログインしてログインしたままになる傾向があります。他のコンピューターに干渉しないことを願っています。もしそうなら、私たちは彼らが状況をよりよく理解することで別の回避策を見つけるでしょう。投稿プロセスについての私の理解は、それらはサービスの日と同じ日付で投稿されなければならないということですが、ブックキーパーは週に数日しかありません。システム全体ではなく、投稿の時間を設定できるシステムに移行しています。
ドメインコントローラーは、やむを得ずワークステーションとして使用されています。多くのコンピューターにお金はありませんが、ドメインを持つことなどの利点のいくつかの恩恵を受けていると思います。ベストプラクティスに反していることは理解していますが、慎重に検討されたトレードオフでした。
これがSUで死ぬことを望んでいましたが、ここに移動したので、状況について専門家の意見を述べます。
エンドユーザーがこのサーバーにログインする必要がある場合は、ドメインコントローラーであってはなりません。限目。この声明を補強するだけである、ナンセンスと他のすべてをずっと気にしないでください。エンドユーザーは、適切に構成されたターミナルサーバーではないサーバーにログインしないでください。サーバーがドメインまたはドメインコントローラーのメンバーである場合、サーバーの時間を任意に変更することはできません。エンドユーザーは、これらのアクションを実行する権限を持ってはなりません。
このユーザーがこのソフトウェアを実行できる安価なワークステーションを購入するか、このサーバーを使用できるようにしますが、DCではないように降格します。このソフトウェアを実行するためにRDPで使用できるVM)を提供します。オプションはたくさんあります。正直に言って、現在行っていること以外のことは何でもしてください。
編集:エンドユーザーがリモートデスクトップサービス(以前のターミナルサービス)ライセンスなしでサーバー上でアプリケーションを実行するためにRDPを使用することは、EULAの違反であり、ライセンス監査に失敗し、罰金が科せられる可能性があることも指摘しますマイクロソフトによって、彼らはこれまでに発見したことがあります。 「無料」で許可されているサーバーへの2つのRDPセッションは、サーバーのリモート管理用であり、日常業務のワークステーションとして使用するためのものではありません。