Conta de domínio não recebe privilégios de administrador apropriados das diretivas de grupo

3

Estou tentando instalar um software que requer SeBackupPrivilege , SeDebugPrivilege e SeSecurityPrivilege , mas não consigo obter minha conta de domínio para recuperar esses privilégios específicos.

Alterei os nomes para este exemplo, mas o nome das contas de usuário é Teddy e está localizado no grupo Teddy-Group . Este grupo recebeu privilégios através de uma política de grupo chamada Teddy-Base . Essa política de grupo é aplicada a uma unidade organizacional que contém a conta de computador da máquina na qual estou tentando instalar o software. Dentro desta política de grupo Teddy-Group é aplicado a: Backup Files and Directories Debug Programs e Managing Auditing and Security Log conforme solicitado pelo instalador.

Ao executar rsop.msc na máquina, vejo que a política foi aplicada corretamente, mas quando executo whoami /priv , vejo que os privilégios não são aplicados e o instalador continua a falhar.

Não tenho certeza se estou perdendo a cabeça e fazendo algo errado aqui, mas realizei essas operações inúmeras vezes e esta é a primeira vez que tenho problemas. Alguma idéia?

Windows 2008 R2 SP1

Resultado de gpresult /z

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0 Copyright (C) Microsoft Corp. 1981-2001

Created On 6/18/2014 at 11:08:58 AM



RSOP data for 
-------------------------------------------------

OS Configuration:            Member Server OS Version:                
6.1.7601 Site Name:                   Default-First-Site-Name Roaming Profile:             N/A Local Profile:               Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    Last time Group Policy was applied: 6/18/2014 at 10:39:08 AM
    Group Policy was applied from:      
    Group Policy slow link threshold:   500 kbps
    Domain Name:                       
    Domain Type:                        Windows 2000

    Applied Group Policy Objects
    -----------------------------
        Teddy-Base
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

    Resultant Set Of Policies for Computer
    ---------------------------------------

        Software Installations
        ----------------------
            N/A

        Startup Scripts
        ---------------
            GPO: DNS_Registration
                Name:         RegisterDNS.vbs
                Parameters:   
                LastExecuted: 2:39:16 PM

        Shutdown Scripts
        ----------------
            N/A

        Account Policies
        ----------------


        Audit Policy
        ------------
            N/A

        User Rights
        -----------

            GPO: Teddy-Base
                Policy:            DebugPrivilege
                Computer Setting:  domain\Teddy-Group

            GPO: Teddy-Base
                Policy:            SecurityPrivilege
                Computer Setting:  domain\Teddy-Group

            GPO: Teddy-Base
                Policy:            ServiceLogonRight
                Computer Setting:  domain\Teddy-Group


            GPO: Teddy-Base
                Policy:            BackupPrivilege
                Computer Setting:  domain\Teddy-Group

        Security Options
        ----------------



        Event Log Settings
        ------------------

        Restricted Groups
        -----------------
            GPO: DSP
                Groupname: Backup Operators


        System Services
        ---------------


        Registry Settings
        -----------------


        File System Settings
        --------------------


        Public Key Policies
        -------------------
            N/A

        Administrative Templates
        ------------------------
             "I have removed these from the output"


USER SETTINGS
--------------

    Last time Group Policy was applied: 6/18/2014 at 10:43:02 AM
    Group Policy was applied from:      
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        
    Domain Type:                        Windows 2000



    The user is a part of the following security groups
    ---------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Users
        BUILTIN\Administrators
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        Domain Admins
        Teddy-Group
        Denied RODC Password Replication Group
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Bypass traverse checking
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Enable computer and user accounts to be trusted for delegation
        Increase a process working set
        Back up files and directories
        Debug programs
        Manage auditing and security log
    
por user2104891 18.06.2014 / 16:59

2 respostas

1

Isso pode ser um bug conhecido:

O pacote do Windows Installer que requer o direito de usuário SeBackupPrivilege falha no Windows 7 ou no Windows Server 2008 R2
link

Sintoma

Considere o seguinte cenário:

  • Você tem um computador executando o Windows 7 ou o Windows Server 2008 R2
  • Você instala um pacote do Windows Installer (.msi) usando o serviço Windows Installer.
  • Algumas ações do cliente no pacote .msi exigem o direito de usuário SeBackUpPrivilege.

Nesse cenário, a instalação do pacote .msi falha.

Observação: Esse problema não ocorre em um computador que esteja executando o Windows Server 2003, o Windows XP, o Windows Vista ou o Windows Server 2008 e que tenha o Windows Installer 4.5 instalado.

Causa

Esse problema ocorre porque o serviço do Windows Installer 5.0 não tem o direito de usuário SeBackupPrivilege no Windows 7 e no Windows Server 2008 R2.

Solução alternativa

Para contornar esse problema, execute o seguinte comando em um prompt de comando elevado para definir permissões explícitas do direito de usuário SeBackupPrivilege para o serviço msiserver:

sc privs msiserver SeTcbPrivilege/SeCreatePagefilePrivilege/SeLockMemoryPrivilege/SeIncreaseBasePriorityPrivilege/SeCreatePermanentPrivilege/SeAuditPrivilege/SeSecurityPrivilege/SeChangeNotifyPrivilege/SeProfileSingleProcessPrivilege/SeImpersonatePrivilege/SeCreateGlobalPrivilege/SeAssignPrimaryTokenPrivilege/SeRestorePrivilege/SeIncreaseQuotaPrivilege/SeShutdownPrivilege/SeTakeOwnershipPrivilege/SeLoadDriverPrivilege/SeBackupPrivilege
    
por 25.08.2014 / 21:13
1

Eu tive o mesmo processo whoami /priv , fazendo com que eu questionasse minha própria sanidade (eventualmente eu adicionei manualmente a conta via secpol.msc e ainda tenho "desativado", o que me fez entender que o GP não é o problema). br> Eu aprendi que os privilégios de backup não são dados por padrão a nenhum processo que pertença a um usuário que tenha esse privilégio - os processos têm que solicitar usando AdjPriv .
Você tentou executar:

Se essas amostras não puderem obter esse privilégio, isso significa que algo está errado, e você deve tentar desabilitar o GP e configurar o privillege manualmente, para ver se isso resolve o problema.
TLDR : Você tentou realmente executar o software e vê-lo falhar?

Fontes:

por 14.07.2014 / 23:12