注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

gnaw0725博客

活动目录、网络安全

 
 
 
 
 

日志

 
 

让Domain User有权限修改客户端时间  

2007-04-30 11:41:50|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

如何给DOMAIN USER 用户修改客户机本地时间的权限?

回答:

您好,您可以使用组策略来定义。
首先你打开组策略编辑器(gpedit.msc)选择计算机配置--Windows设置--本地策略--用户权利指派--更改系统时间双击--选择添加用户或组将domain user用户添加上去即可。

---- TechNet观察员 洛洛

您可以通过设置更改系统时间的策略来允许domain user修改系统时间。具体设置如下:
1. 单击“开始” →“运行” →输入“DSA.MSC” →“Active Directory User and Computer”。
2. 在控制台树中,右键单击希望为其设置组策略的域或组织单元。
3. 单击属性,然后单击组策略选项卡。
4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。或者,可以单击新建创建一个新的 GPO,然后单击编辑。
5. 进入组策略编辑器→“计算机配置” →“Windows设置” →“本地策略” →“用户权利指派” →“更改系统时间” →选择“定义这些策略设置”→添加用户。
6. 关闭组策略编辑器→点击“应用”。
7. 点击“开始->运行”并输入“CMD” ->输入“GPUPDATE/FORCE”,强制刷新组策略,重启计算机后察看组策略是否生效。

由于“更改系统时间”这条策略属于计算机配置。而计算机配置是指无论谁登录到计算机,您都可以使用“组策略”中的“计算机配置”来设置要应用于计算机的策略。如果没有计算机来应用这台策略,自然这条策略也就无法生效了,当您将客户机C1加入到OU A中,组策略Agpo就可以生效了。

更多信息请参考以下文章:
计算机配置
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/018452a7-a290-4cc3-9cc2-30679e806038.mspx?mfr=true

了解组策略
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/018452a7-a290-4cc3-9cc2-30679e806038.mspx?mfr=true

Tom Zhang 张一平
在线技术支持工程师
微软全球技术支持中心

原则上来讲,一般不建议赋予普通用户以修改客户端计算机时间的权限,因为客户端的时间默认状况下向当前域的Pdce拥有者(肯定是台dc)同步,这样做的原因是为了确保域客户端乃至域的安全,所以即便用户当时修改了时间,那么当下次正常登录域以后,会自动与DC同步,恢复正确时间。关于客户端时间同步,请参看 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;224799
微软规定,当客户端的时间与dc的时差超过5分钟,并且不能自动修正的情况下,将不允许进行登录,并且无法套用到策略 ,在客户端日志中会提示
Userenv Event ID 1097
Windows cannot find the machine account, The clocks on the client and server machines are skewed
Userenv Event ID 1030
Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

关于这个问题,请参看 http://support.microsoft.com/kb/886516/zh-cn

很多情况下,用户之所以有变更时间的需求,通常出于如下几个原因:

1、该机器属于生产机器,例如机床的时间控制,上下班打卡机器等,这种机器建议不要加入域。采用上面的方式赋予权限后,单独管理。
2、该机器上有一些软件,使用期限已过,需要修改到过去的时间才能够使用。那么这样的情况,一般可以用一些小软件,它们将会在前面启动,临时的修改系统时间,当您使用完毕,又会将系统时间恢复。

gnaw0725注:所以,为了域客户端的标准化管理,不易在客户端做过多的特殊权限,很多的时候还需要辅以非技术手段。相关的内容请参看
http://gnaw0725.blogbus.com/logs/4888466.html
http://gnaw0725.blogbus.com/logs/4888469.html

  评论这张
 
阅读(114)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017