Учетная запись домена не получает надлежащий Se Privledges от групповых политик
Я пытаюсь установить программное обеспечение, которое требует SeBackupPrivilege, SeDebugPrivilege, и SeSecurityPrivilegeно я, может казаться, не заставляю свою Учетную запись домена получать эти определенные полномочия.
Я изменил имена для этого примера, но имя учетных записей пользователей Teddy и расположен в группе Teddy-Group. Эта группа была присвоенными полномочиями через названную групповую политику Teddy-Base. Эта групповая политика применяется к OU, который содержит учетную запись компьютера за машину, в которой я пытаюсь установить программное обеспечение. В этой групповой политике Teddy-Group относится: Backup Files and Directories Debug Programs и Managing Auditing and Security Log согласно просьбе установщиком.
После выполнения rsop.msc на машине я вижу, что политика была правильно применена, все же когда я работаю whoami /priv Я вижу, что полномочия не применяются, и установщик продолжает перестать работать.
Не уверенный, если я просто схожу с ума и делаю что-то не так здесь, но я сделал эти операции многочисленные времена, и это - первый раз, когда у меня были проблемы. Какие-либо идеи?
Windows 2008 R2 SP1
Результат gpresult /z
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0 Copyright (C) Microsoft Corp. 1981-2001
Created On 6/18/2014 at 11:08:58 AM
RSOP data for
-------------------------------------------------
OS Configuration: Member Server OS Version:
6.1.7601 Site Name: Default-First-Site-Name Roaming Profile: N/A Local Profile: Connected over a slow link?: No
COMPUTER SETTINGS
------------------
Last time Group Policy was applied: 6/18/2014 at 10:39:08 AM
Group Policy was applied from:
Group Policy slow link threshold: 500 kbps
Domain Name:
Domain Type: Windows 2000
Applied Group Policy Objects
-----------------------------
Teddy-Base
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
System Mandatory Level
Everyone
BUILTIN\Users
NT AUTHORITY\SERVICE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
This Organization
BITS
CertPropSvc
EapHost
hkmsvc
IKEEXT
iphlpsvc
LanmanServer
MMCSS
MSiSCSI
RasAuto
RasMan
RemoteAccess
Schedule
SCPolicySvc
SENS
SessionEnv
SharedAccess
ShellHWDetection
wercplsupport
Winmgmt
wuauserv
LOCAL
BUILTIN\Administrators
Resultant Set Of Policies for Computer
---------------------------------------
Software Installations
----------------------
N/A
Startup Scripts
---------------
GPO: DNS_Registration
Name: RegisterDNS.vbs
Parameters:
LastExecuted: 2:39:16 PM
Shutdown Scripts
----------------
N/A
Account Policies
----------------
Audit Policy
------------
N/A
User Rights
-----------
GPO: Teddy-Base
Policy: DebugPrivilege
Computer Setting: domain\Teddy-Group
GPO: Teddy-Base
Policy: SecurityPrivilege
Computer Setting: domain\Teddy-Group
GPO: Teddy-Base
Policy: ServiceLogonRight
Computer Setting: domain\Teddy-Group
GPO: Teddy-Base
Policy: BackupPrivilege
Computer Setting: domain\Teddy-Group
Security Options
----------------
Event Log Settings
------------------
Restricted Groups
-----------------
GPO: DSP
Groupname: Backup Operators
System Services
---------------
Registry Settings
-----------------
File System Settings
--------------------
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
"I have removed these from the output"
USER SETTINGS
--------------
Last time Group Policy was applied: 6/18/2014 at 10:43:02 AM
Group Policy was applied from:
Group Policy slow link threshold: 500 kbps
Domain Name:
Domain Type: Windows 2000
The user is a part of the following security groups
---------------------------------------------------
Domain Users
Everyone
BUILTIN\Users
BUILTIN\Administrators
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
Domain Admins
Teddy-Group
Denied RODC Password Replication Group
High Mandatory Level
The user has the following security privileges
----------------------------------------------
Restore files and directories
Change the system time
Shut down the system
Force shutdown from a remote system
Take ownership of files or other objects
Modify firmware environment values
Profile system performance
Profile single process
Increase scheduling priority
Load and unload device drivers
Create a pagefile
Adjust memory quotas for a process
Bypass traverse checking
Remove computer from docking station
Perform volume maintenance tasks
Impersonate a client after authentication
Create global objects
Change the time zone
Create symbolic links
Enable computer and user accounts to be trusted for delegation
Increase a process working set
Back up files and directories
Debug programs
Manage auditing and security log
Это может быть известная ошибка:
Пакет установки Windows, требующий права пользователя SeBackupPrivilege, не работает в Windows 7 или в Windows Server 2008 R2
http://support.microsoft.com/kb/2514642
Симптом
Рассмотрим следующий сценарий:
- У вас компьютер работает под управлением Windows 7 или Windows Server 2008. R2.
- Вы устанавливаете пакет Windows Installer (.msi) с помощью службы Windows Installer.
- Некоторые действия клиента в пакете .msi требуют права пользователя SeBackUpPrivilege.
В этом сценарии установка пакета .msi не удается.
Примечание: Эта проблема не возникает на компьютере, на котором установлена Windows Server 2003, Windows XP, Windows Vista или Windows Server 2008 и на котором установлен Windows Installer 4.5. Причина
Причина
Данная проблема возникает из-за того, что служба Windows Installer service 5.0 не имеет пользователя SeBackupPrivilege прямо в Windows 7 и в Windows Server 2008 R2.
Обходное решение
Для решения этой проблемы, запустите следующую команду в интерпретаторе команд, чтобы установить явные права пользователя SeBackupPrivilege для службы msiserver:
sc privs msiserver SeTcbPrivilege/SeCreatePagefilePrivilege/SeLockMemoryPrivilege/SeIncreaseBasePriorityPrivilege/SeCreatePermanentPrivilege/SeAuditPrivilege/SeSecurityPrivilege/SeChangeNotifyPrivilege/SeProfileSingleProcessPrivilege/SeImpersonatePrivilege/SeCreateGlobalPrivilege/SeAssignPrimaryTokenPrivilege/SeRestorePrivilege/SeIncreaseQuotaPrivilege/SeShutdownPrivilege/SeTakeOwnershipPrivilege/SeLoadDriverPrivilege/SeBackupPrivilege
У меня был тот же самый процесс whoami /priv, который заставил меня усомниться в моём собственном здравом уме (в конце концов я вручную добавил аккаунт через secpol.msc и всё равно получил "disabled", что заставило меня понять, что GP - это не проблема)
.
Я узнал, что по умолчанию привилегии на резервное копирование не предоставляются ни одному процессу, принадлежащему пользователю, который имеет такие привилегии - процессы должны запрашивать их, используя AdjPriv.
.
Пытались ли вы выполнить:
Если эти примеры не могут получить эту привилегию, это значит, что что-то не так, и вам следует попытаться отключить GP и установить привилегию вручную, чтобы посмотреть, решает ли это проблему.
TLDR: Пытались ли вы на самом деле выполнить программу и увидеть, что она не работает?
`.
Источники: