Eu não sou muito administrador de servidores, mas fico com os pés molhados quando preciso.
Agora mesmo estou executando algum software COTS em uma máquina com Windows 2008 Server. O instalador do software cria algumas contas de usuário para executar seus processos e, em seguida, concede a esses usuários o direito de "fazer logon como um trabalho em lotes".
De vez em quando (por exemplo, ontem às 14h52 e esta manhã às 7h50), esses direitos desaparecem. O software então pára de funcionar. Posso verificar se os direitos do usuário desapareceram usando
secedit /export /cfg e:\temp\uraExp.inf /areas USER_RIGHTS
e eu tenho um script que faz isso a cada 30 segundos e registra os resultados com um timestamp, então eu sei quando os direitos desaparecem.
O que eu vejo da exportação é que, no estado "bom", ou seja, depois que eu instalo o software e ele está funcionando corretamente, a linha para SeBatchLogonRight da exportação secedit inclui as contas de usuário criadas pelo software. Mas a cada poucas horas (às vezes mais), essas contas de usuário são removidas dessa linha. A mesma coisa pode ser vista usando a ferramenta GUI Local Security Policy > Security Settings > Local Policies > User Rights Assignment > Log on as a batch job : no estado "bom", essa política inclui as contas de usuário necessárias e, no estado ruim, a política não.
Com base no script de log acima mencionado e no registro de data e hora em que os direitos de usuário estão sendo removidos, posso ver claramente que alguns GPOs estão causando a alteração. O log Operacional do GPO mostra os GPOs sendo processados exatamente no momento certo. Por exemplo:
Starting Registry Extension Processing.
List of applicable GPOs: (Changes were detected.)
Local Group Policy
Eu executei GPOs sob demanda usando gpupdate /force e consegui verificar se isso fazia com que os Direitos do usuário fossem removidos.
Examinamos as políticas de grupos locais até que nossos olhos estejam cruzados, tentando descobrir qual deles poderia estar removendo esses direitos de usuário para "fazer logon como um trabalho em lote". Nós não configuramos nenhuma política de grupo local nesta máquina, que nós conhecemos; Então, existe uma política de grupo local padrão que normalmente pode fazer uma coisa dessas? Existem políticas de domínio típicas que fazem isso?
Tenho trabalhado com nossos colegas de equipe de TI para solucionar o problema, mas nenhum deles é realmente um especialista em GPO ... Eles usam muitos recursos e fazem o que precisam para manter a maioria das coisas funcionando.
Qualquer sugestão seria muito apreciada!
A ferramenta "Conjunto de políticas resultante" ajudará você aqui; está na parte inferior da barra lateral esquerda no Console de Gerenciamento de Diretiva de Grupo.
Aponte para a máquina e, na guia de configurações, você encontrará cada item definido pelas políticas aplicadas ao sistema e de qual GPO foi essa configuração.