Eu percebo que este título instantaneamente soa como uma má idéia, então vou justificar a necessidade além de descrever o problema.
A necessidade de alterar o horário do sistema
Eu configurei recentemente um sistema Windows Server 2012 Essentials para um cliente, pela primeira vez implementando uma estrutura baseada em domínio para um escritório de serviços médicos que anteriormente tinha computadores sem senha. É uma grande mudança e um tanto perturbadora. Eles têm 3 estações de trabalho, 6-8 funcionários, dependendo, e algum fluxo de pessoas passando. A estação de trabalho que eu substituí é a que é o melhor lugar para o seu contabilista postar transações, e para fazer isso com o mínimo de dor, ela está mudando a hora do sistema, até agora. No interesse de não impor um novo fluxo de trabalho, gostaria de permitir que ele o faça pelos próximos meses, até que ele tenha saído do sistema que exige esse fluxo de trabalho.
Atualmente, apenas um outro computador é associado ao domínio - o outro computador está executando o Windows XP Home e ingressará no domínio quando for substituído. Eu compreendo perfeitamente a sabedoria de não mudar o tempo do controlador de domínio por vontade própria, mas acho que não permitir que ele seja mais prejudicial para seus negócios agora. Como eles não são um ambiente corporativo e são uma pequena empresa tentando usar seus recursos, considero isso bastante seguro. Sinta-se à vontade para provar que estou errado se estiver prestes a cometer um verdadeiro desastre.
O problema
Meu entendimento é que a melhor maneira de dar ao contador essa capacidade é torná-lo parte do grupo Operadores de Servidor, já que eles têm a permissão Alterar a Hora do Sistema na Política de Grupo. Pensei em distribuir essa permissão como uma única, mas o grupo de Operadores de Servidor parecia ser uma boa opção para este escritório, já que as pessoas precisarão de algumas das outras permissões atribuídas a ele (reinicialização, etc.).
O problema é que parece não funcionar, e não consigo encontrar nenhuma documentação sobre o motivo. Verifiquei que ela é membro do grupo, execute gpupdate / FORCE, reiniciei o servidor e ela ainda não pode alterar a hora (mas minha conta de administrador pode). Outras permissões relacionadas ao grupo (alterando o fuso horário) parecem funcionar como esperado e ela pode fazer essas funções. Também verifiquei que os operadores do servidor têm essa permissão na diretiva de grupo na diretiva de controladores de domínio padrão, que parece ser aplicada. Um prompt do UAC pedindo credenciais continua a aparecer quando ela tenta mudar a hora.
Como resultado, estou assumindo que estou perdendo algo e que não apliquei algo corretamente, algo na cadeia em algum lugar não está definido por padrão e presumo que seja, ou que algo é proibido essa ação, substituindo a permissão original.
A alternativa que alguns podem considerar, já que eu já estou falando sobre dar a ela a capacidade de mudar o tempo, é dar a ela uma conta de administrador secundária para mudar o horário. Mas eu não estou disposto a fazer isso ainda, já que acredito que existe uma opção melhor e mais segura, e parte da razão pela qual eu fui com o modelo de domínio neste escritório foi porque eles anteriormente fizeram más escolhas com credenciais de administrador. Eu gostaria muito de encontrar uma solução ou solução alternativa que não lhes desse mais permissões do que o necessário para realizar suas tarefas com eficiência.
Alguém tem experiência com este problema? Os operadores de servidores agrupam a rota correta a ser tomada? Obrigado pela sua ajuda.
Editar: resposta longa às perguntas abaixo. Eu entendo que pode fazer com que as funções básicas falhem. Na maioria das vezes, eles tendem a fazer login uma vez no início do dia e permanecem conectados. Minha esperança é que isso não interfira em outros computadores. Em caso afirmativo, encontraremos uma solução alternativa diferente para eles entenderem melhor a situação. Meu entendimento do processo de postagem é que eles devem ser postados com a mesma data do dia do serviço, mas o contador fica apenas alguns dias por semana. Estamos fazendo a transição para um sistema que permite que ela defina a hora na postagem em vez de em todo o sistema.
O controlador de domínio está sendo usado como uma estação de trabalho por necessidade. Eles não têm dinheiro para muitos computadores, mas eu acho que eles se beneficiam de algumas das vantagens de ter um domínio, etc. Foi um tradeoff cuidadosamente considerado, embora eu entenda que é bem contra as melhores práticas.