Conceder permissões ao usuário para alterar a hora do sistema no controlador de domínio do Windows Server 2012

3

Eu percebo que este título instantaneamente soa como uma má idéia, então vou justificar a necessidade além de descrever o problema.

A necessidade de alterar o horário do sistema

Eu configurei recentemente um sistema Windows Server 2012 Essentials para um cliente, pela primeira vez implementando uma estrutura baseada em domínio para um escritório de serviços médicos que anteriormente tinha computadores sem senha. É uma grande mudança e um tanto perturbadora. Eles têm 3 estações de trabalho, 6-8 funcionários, dependendo, e algum fluxo de pessoas passando. A estação de trabalho que eu substituí é a que é o melhor lugar para o seu contabilista postar transações, e para fazer isso com o mínimo de dor, ela está mudando a hora do sistema, até agora. No interesse de não impor um novo fluxo de trabalho, gostaria de permitir que ele o faça pelos próximos meses, até que ele tenha saído do sistema que exige esse fluxo de trabalho.

Atualmente, apenas um outro computador é associado ao domínio - o outro computador está executando o Windows XP Home e ingressará no domínio quando for substituído. Eu compreendo perfeitamente a sabedoria de não mudar o tempo do controlador de domínio por vontade própria, mas acho que não permitir que ele seja mais prejudicial para seus negócios agora. Como eles não são um ambiente corporativo e são uma pequena empresa tentando usar seus recursos, considero isso bastante seguro. Sinta-se à vontade para provar que estou errado se estiver prestes a cometer um verdadeiro desastre.

O problema

Meu entendimento é que a melhor maneira de dar ao contador essa capacidade é torná-lo parte do grupo Operadores de Servidor, já que eles têm a permissão Alterar a Hora do Sistema na Política de Grupo. Pensei em distribuir essa permissão como uma única, mas o grupo de Operadores de Servidor parecia ser uma boa opção para este escritório, já que as pessoas precisarão de algumas das outras permissões atribuídas a ele (reinicialização, etc.).

O problema é que parece não funcionar, e não consigo encontrar nenhuma documentação sobre o motivo. Verifiquei que ela é membro do grupo, execute gpupdate / FORCE, reiniciei o servidor e ela ainda não pode alterar a hora (mas minha conta de administrador pode). Outras permissões relacionadas ao grupo (alterando o fuso horário) parecem funcionar como esperado e ela pode fazer essas funções. Também verifiquei que os operadores do servidor têm essa permissão na diretiva de grupo na diretiva de controladores de domínio padrão, que parece ser aplicada. Um prompt do UAC pedindo credenciais continua a aparecer quando ela tenta mudar a hora.

Como resultado, estou assumindo que estou perdendo algo e que não apliquei algo corretamente, algo na cadeia em algum lugar não está definido por padrão e presumo que seja, ou que algo é proibido essa ação, substituindo a permissão original.

A alternativa que alguns podem considerar, já que eu já estou falando sobre dar a ela a capacidade de mudar o tempo, é dar a ela uma conta de administrador secundária para mudar o horário. Mas eu não estou disposto a fazer isso ainda, já que acredito que existe uma opção melhor e mais segura, e parte da razão pela qual eu fui com o modelo de domínio neste escritório foi porque eles anteriormente fizeram más escolhas com credenciais de administrador. Eu gostaria muito de encontrar uma solução ou solução alternativa que não lhes desse mais permissões do que o necessário para realizar suas tarefas com eficiência.

Alguém tem experiência com este problema? Os operadores de servidores agrupam a rota correta a ser tomada? Obrigado pela sua ajuda.

Editar: resposta longa às perguntas abaixo. Eu entendo que pode fazer com que as funções básicas falhem. Na maioria das vezes, eles tendem a fazer login uma vez no início do dia e permanecem conectados. Minha esperança é que isso não interfira em outros computadores. Em caso afirmativo, encontraremos uma solução alternativa diferente para eles entenderem melhor a situação. Meu entendimento do processo de postagem é que eles devem ser postados com a mesma data do dia do serviço, mas o contador fica apenas alguns dias por semana. Estamos fazendo a transição para um sistema que permite que ela defina a hora na postagem em vez de em todo o sistema.

O controlador de domínio está sendo usado como uma estação de trabalho por necessidade. Eles não têm dinheiro para muitos computadores, mas eu acho que eles se beneficiam de algumas das vantagens de ter um domínio, etc. Foi um tradeoff cuidadosamente considerado, embora eu entenda que é bem contra as melhores práticas.

    
por Nick 14.10.2013 / 16:31

1 resposta

7

Eu estava esperando que isso morresse na SU, mas desde que ele se mudou para cá, eu darei minha opinião profissional sobre a situação.

Se um usuário final precisar efetuar login nesse servidor, ele não deverá ser um controlador de domínio. Período. Nevermind o tempo todo sem sentido e tudo mais, o que só reforça essa afirmação. Os usuários finais não devem efetuar login em servidores que não estejam configurados adequadamente. Nenhum servidor deve ter o tempo alterado arbitrariamente quando é um membro de um domínio ou controlador de domínio. Nenhum usuário final deve ter os direitos para realizar essas ações.

Compre uma estação de trabalho barata para esse usuário em que ele possa executar esse software, ou deixe-o usar esse servidor, mas rebaixe-o para que não seja um DC. Dê a eles uma VM na qual possam executar o RDP para executar este software. Há muitas opções. Realmente, honestamente, faça algo diferente do que você está fazendo agora.

Edit: Eu também ressaltarei que usar o RDP para os usuários finais executarem aplicativos em um servidor sem o licenciamento dos Serviços de Área de Trabalho Remota (anteriormente Serviços de Terminal) é uma violação do EULA e você provavelmente falhará na auditoria de licença e será batido com multa da Microsoft, se algum dia descobrirem. As duas sessões RDP para um servidor que são permitidas para "livre" são para administração remota do servidor, não para usá-lo como uma estação de trabalho para o trabalho diário.

    
por 15.10.2013 / 23:02