Qual é a relação entre diretivas de atribuição de direitos de usuário vs. associação de grupos locais

4

Eu passei a maior parte desta manhã em uma chamada de suporte com um fornecedor, onde finalmente resolvemos nosso problema adicionando manualmente a conta de serviço que o aplicativo estava usando às seguintes Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment políticas que estavam sendo definidas por um GPO de domínio :

  • Fazer backup de arquivos e diretórios
  • Fazer logon como um trabalho em lotes
  • Restaurar arquivos e diretórios


Após reinicializar o servidor e obter o GPO atualizado, nossa conta de serviço não gera mais os seguintes eventos de auditoria do Evento 4625 - Logon Tipo 4 ao tentar iniciar o aplicativo:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/22/2013 9:27:04 AM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      server.constco.com
Description:
An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       server$
    Account Domain:     constco
    Logon ID:       0x3e7

Logon Type:         4

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       service-account
    Account Domain:     constco

Failure Information:
    Failure Reason:     The user has not been granted the requested logon type at this machine.
    Status:         0xc000015b
    Sub Status:     0x0



A documentação do fornecedor nos instruiu a adicionar a conta de serviço aos grupos locais Operadores de Backup e Usuários Avançados - o que fizemos. Ler a guia Explicar para cada uma das diretivas de Atribuição de Direita do Usuário necessárias indica que os Operadores de Backup têm esses Direitos por padrão (o TechNet parece confirmar isto ). Incidentalmente, não há nenhuma menção ao usuário avançado sendo atribuído a esses direitos que eu posso encontrar, então eu não tenho certeza porque isso era um requisito.


  • Por que precisamos atribuir explicitamente essa conta de serviço a esses direitos ( Back up files and directories , Log on as a batch job , Restore files and directories ) quando já deveria tê-los em virtude de ser um membro do grupo local de operadores de backup? ?

  • Qual é a relação entre as Políticas de Direitos do Usuário e os Grupos Locais internos? As Políticas de Direitos do Usuário são as partes constituintes que compõem os "meta" direitos de cada grupo local integrado? Em caso afirmativo, onde posso encontrar quais Direitos pertencem a quais grupos locais da Bultin?

  • Como afirmado, resolvemos esse problema adicionando nossa conta de serviço ao Objeto de Política de Grupo que está atribuindo manualmente um número de contas de serviço a esses direitos específicos. Eu entendi o engenheiro do fornecedor que esse GPO está interferindo no mapeamento desses direitos constituintes para grupos locais. Este palpite está correto? Está atribuindo direitos de usuário constituinte desta forma uma idéia ruim (TM)?

por kce 23.07.2013 / 01:07

1 resposta

2

Membros de grupos internos locais (assim como grupos de domínio) têm quaisquer direitos atribuídos ao grupo. Os direitos padrão em um servidor para grupos internos locais são definidos nas configurações de segurança locais. Para acessar as configurações de segurança locais, clique em Iniciar, digite secpol.msc e pressione enter. No editor de Diretiva de Segurança Local, expanda Diretivas Locais e clique em Atribuição de Direitos do Usuário. Lá você verá quais grupos / usuários recebem os direitos.

As configurações locais de atribuição de direitos do usuário podem ser substituídas pela política de grupo de domínio. Se você criar uma política de grupo de domínios que conceda a certos grupos / usuários um certo direito, como "Fazer logon como um trabalho em lotes", isso substituirá a política local para a qual os usuários têm esse direito.

Do que você escreveu, aqui está o que eu acho que aconteceu: Você tinha um GPO no seu domínio que concedia a determinados usuários os direitos que você mencionou. Esta política não concedeu esses direitos ao grupo Operadores de Backup da máquina local. Essa política substituiu a política padrão no servidor. Portanto, adicionar o usuário ao grupo Operadores de backup não concedeu esses direitos porque, devido ao GPO de domínio, os operadores de backup não os têm.

Sobre se a solução do fornecedor é ou não uma boa ideia: Descobri que geralmente é mais fácil gerenciar direitos usando grupos bem organizados em vez de concedê-los a contas individuais. Dessa forma, quando você adiciona um novo usuário, adiciona o usuário aos grupos lógicos aos quais ele pertence e ele terá imediatamente todos os direitos necessários, em vez de atribuí-lo a cada um deles. Isso é o que os grupos internos pretendiam fazer.

Em vez de conceder esses três direitos a um usuário individual, você pode ter concedido ao grupo "Operadores de backup" esses três direitos no GPO. Em seguida, adicionar o usuário a esse grupo teria o efeito desejado.

Estou curioso para saber por que você teria uma política de domínio gerenciando esses direitos em primeiro lugar. Se o objetivo era conceder a certos usuários acesso para executar operações de backup, talvez fosse melhor usar o grupo de operadores de backup interno do domínio.

    
por 23.07.2013 / 04:12