Domena AD WINDOWS Server 2016 - uprawnienia do zmiany daty lokalnie

Witam,

Napotkałem dość dziwny problem z konfiguracją uprawnień w WINDOWS SERERVER 2016 ST.

Dokładnie sprawa wygląda tak, że dany użytkownik lokalny musi mieć możliwość zmiany daty na swoim komputerze lokalnym. Jak wiadomo w konfiguracji z uprawnieniami Użytkownika Standardowego nie jest to możliwe (z uprawnieniami administratora jak najbardziej tak).

Zdecydowałem nadać stosowne uprawnienia temu konkretnemu użytkownikowi poprzez secpol.msc. Znalazłem stosowną zakładkę lecz nie mogę dodać tam użytkownika, gdyż jest nieaktywna. Screen w załączniku.

Nie wiem jak to przeskoczyć aby mieć możliwość dodania użytkownika w tym miejscu.

Na serwerze jestem zalogowany jako administrator.

Możliwe, że zakładka jest w jakiś sposób chroniona . Pytanie gdzie zmienić ustawienia tej ochrony.

A przez GPO nie możesz?
konfiguracja użytkownika - szablony administracyjne - system - usługi dotyczące ustawień regionalnych.

W tych ustawieniach są tylko tematy pod względem regionu, języka i lokalizacji. Nie ma tam informacji o zmianie czasu systemu Windows.

A jaki desktop? Gubię się - temat o 2016. Użytkownik pracuje też na 2016, czy ma tylko GPO z AD 2016?

Hej,

AD stoi na Win Serv 2016 ST . Końcówka jest na WIN 10 PRO wpięta do domeny.

Prawdopodobnie takie samo ustawienie będzie musiała mieć końcówka z WIN 7 PRO wpięta do tej samej domeny.

Wg mnie wystarczy ustawić GPO w AD i końcówki powinny zassać.

Z resztą czas pobierają z serwera. Może to przez to, że Serwer tez jest serwerem czasu i końcówki się do niego synchronizują. Dla tego zmiany czasu można dokonać tylko jako admin??

Ogólnie środowisko lokalne jest mieszane WIN7 PRO i WIN10 PRO.

Acha… Komputer w AD i “ktoś chce mieć możliwość zmiany czasu/daty”.

  • Ty tam jesteś administratorem, czy ktoś?
  • jeżeli Ty - czemu pozwalasza na takie coś? Chyba rozumiesz konsekwencje, jak komputer w AD zaczyna mieć rozjechany czas?
  • jaki jest cel, że ktoś ma mieć możliwość zmiany czasu na komputerze?!?

@bachus, tacy administranci mnie już nie dziwią, często sprzątam po takich januszach syf :wink: Najbardziej mnie rozwaliło jak jeden z januszy, który chwalił się wachlarzem certyfikatów Microsoftu, zrobił foldery domowe na udostępnionym zasobie na NAS, bo polityka przekierowania folderów zatykała mu sieć (nie mówiąc już o tym, że sieć jest zrobiona masakrycznie, a gość nie odróżnia NetBIOS od DNS). Ja nie wiem za co ten Microsoft daje te wszystkie certyfikaty.

Komputer ten pracuje w księgowości. Jak wiadomo czasami muszą coś wystawić z inna datą…to jest powód dla którego od czasu do czasu trzeba tą datę zmienić.

Jest to miejsce gdzie sewer AD wg serwer to nowość i ograniczenia nie są zrozumiałe…

1/ Ty jesteś tam IT? To nie zgadasz się, żeby robić coś, co jest niezgodne ze sztuką IT. W najlepszym przypadku stacja robocza straci zaufanie do serwera AD, potem będzie pewnie problem, że nie pamiętasz konta lokalnego do stacji roboczej i nie masz jak podłączyć komputera do AD. Stracisz sporo czasu na reseteowanie hasła lokalnego itd.
2/ może zamiast tylko pytać jak wykonać jakąś czynność pisz też zawsze co jest tego powodem, może ktoś Ci wskaże inną drogę. Pierwsza możliwość:
https://www.nirsoft.net/utils/run_as_date.html
3/ powinieneś mieć podkładkę, że zostałeś o takie coś poproszony (np. na maila). Kreatywna księgowość jest przestępstwem.

1 polubienie

I właśnie dlatego ktoś wymyślił coś takiego jak znaczniki czasu, aby księgowi nie kombinowali.

Nie wiem co masz za księgowych, ale skoro nie pilnują terminów, to niech biorą odpowiedzialność na siebie za swoje niedopatrzenia. Gdy przyjdzie co do czego, do Ciebie się przypitolą. Chcesz mieć paragrafy k. k. na głowie?

A co jest złego w folderach domowych na NAS?

Też się zastanawiam :wink: @roobal

O ile NAS jest w tej samej podsieci, to pewnie nic złego. Jednak z doświadczenia wiem, że lepiej jak foldery są na kontrolerze. Dlatego ja zawsze robię sobie zasób iSCSI, podmontowuję go do kontrolera i tam trzymam profile. Jeszcze nigdy nie miałem z tym problemów. Zaś w przypadku folderów na NASie, bywało róznie. Może wynika to z tego, że zawsze odziedziczam infstratrukturę po jakichś Januszach, po których pozostaje tylko przejechać firmę buldożerem i budować wszystko od zera.

Co do wspomnianego folderu domowego na NAS z sytuacji, którą opisałem, to nie jest ani folder redirection, ani roaming profiles, to zwyczajny zasób mapowany jako dysk sieciowy, na którym użytkownicy trzymają swoje pliki. Ktoś to tak sobie wymyślił, bo sieć podobno nie wyrabiała. I faktycznie nie wyrabia, bo jak ktoś switche Cisco pokonfigurował tak, że na łączu 100/100 Mb/s pliki pobierają się z transfrem 200kb/s to nie dziwnę, że folder redirection nie wyrabiało.