Windows - Permissões de domínio para alterar hora e data

Question

Windows - Permissões de domínio para alterar hora e data

#1 resposta do (1 votos)

0

Eu tenho um arquivo de lote (não escrito por mim) que permite que os usuários em toda a rede da empresa redefinam sua hora e data para que eles tenham a hora correta.

Este é o código:

@echo off

cd psexec
psexec -u DOMAIN\administrator -p PASSWORD net time /set /y

Como você pode ver, essa foi uma idéia extremamente atroz, já que qualquer usuário poderia abrir o arquivo e ler a senha da conta do administrador da rede. Por sorte, já havíamos alterado a senha quando descobri este código.

Como este é um arquivo útil (mas não há como deixar a senha do administrador por aí), existe uma maneira no Active Directory de conceder a um usuário específico somente a permissão para alterar o tempo e data, de modo que só pode ser usado para esse fim?

permissions windows active-directory batch-file

por Hankrecords 20.10.2017 / 10:25

1 resposta

Tags permissions windows active-directory batch-file

Copiando e colando valores no Excel 2016 usando o VBA Backup de um disco usando a criptografia do Windows EFS: (às vezes) sem criptografia no destino

score 1 · Answer 1

Esta não é uma resposta completa, mas:

O Windows normalmente usa o NTP por padrão, e as estações de trabalho Windows geralmente usam seu controlador de domínio como o servidor de tempo NTP por padrão. Portanto, certifique-se de que os DCs estejam sincronizados (eles podem obter o seu tempo a partir do pool global), sua porta NTP não é firewall desligado, e assim por diante.
Se, por alguma razão, isso não estiver acontecendo, você pode push configuration usando o AD" Group Policy "em todos os seus computadores de uma vez, por exemplo se você quiser que eles usem o pool NTP global diretamente.
Se isso não funcionar, você pode usar a Política de Grupo para implantar um "script de login", que pode ser executado durante logins de usuários ou imediatamente após o PC ser inicializado.
Se isso não funcionar, você poderá conceder SeSystemtimePrivilege a usuários comuns ou, por exemplo, ao identificador INTERACTIVE especial. Novamente, use a Política de Grupo para isso, embora também esteja disponível localmente via secpol.msc - em ambos os casos, é chamado de "Privilégios → Alterar a hora do sistema".
O último ponto acima responde diretamente à sua pergunta original sobre a concessão de privilégios de mudança de horário a um usuário. Mas não tenho certeza se vale a pena criar uma conta separada apenas para isso (em vez de permitir que os usuários definam o tempo diretamente) - afinal, todos podem encontrar sua senha em seu arquivo em lotes .