Системные службы GPO
 

Доброго времени суток.
Интересует настройка групповой политики "конфигурация компьютера\политики\конфигурация Windows\параметры безопасности\системные службы". Настраиваю автостарт службы Удаленный реестр. Автозапуск не заработал, пока не добавил Local Service в ACL в настройке параметра групповой политики (т.к. Удаленный реестр запускается от имени "Локальная служба"), после этого автозапуск стал срабатывать. 2 вопроса:

1. Не обнаружил блокировки настроек, т.е. обычно при использовании GPO пользователь на месте (даже будучи администратором) видит сообщение "такие-то параметры контролируются администратором" и не может изменить то, что задано групповой политикой. Здесь же я могу изменить тип запуска Удаленного реестра и даже отключить службу, но после gpupdate служба снова запускается (только на Windows 7) и принимает тип запуска "автоматически" (на XP и на 7), это нормально? Меня это волнует еще потому, что если изменить тип запуска, то он не вернется в тип
установленный групповой политикой без gpupdate с ключем /force, что логично, ведь параметры политики более не менялись (даже после перезагрузки).

2. Можно ли изменить системную учетную запись с помощью групповой политики, от имени которой выполняет вход служба, или добавлять учетную запись от имени которой служба обычно работает в ACL в настройке политики это нормальная практика?

Спасибо заранее.

вы можете явно указать разрешения на службу(ы), и выкинуть из списка локальных админов (если вы ещё с ними).
но хочу вас предупредить - где-то (по-моему даже в blogs.technet) я встречала обшиную статью, в которой разбирались забавные ошибки WU, одна из которых была следствием игрищ с разрешенияим на службы через GPO.
так же была дополнительная информация, к каким службам лучше своими ручками не лезть.
Найти к сожалению не могу, пруфы будут если нагуглите самостоятельно.
попробуйте написать свой вопрос по-другому - он непонятен.

Спасибо за ответ.
Если я вас правильно понял, лучшая практика - это убрать локальных администраторов из security служб? В таком случае придется задавать параметры в "системных службах" для каждой службы и задавать тип ее запуска, что не очень удобно, к тому же в этих настройках нет типа запуска "автоматически (отложенный запуск)", т.е. выбирать придется из 3х типов запуска службы.
Я пытаюсь понять - нормально ли это, что администратор может менять эти параметры (путь у него и есть разрешения), ведь например при заданных параметрах брандмауэра через групповую политику, администратор не сможет их менять на рабочей станции, подпадающей под действие этой политики. Почему в случае с настройками из "системные службы" не так?

Я действительно выразился кривовато. Я имел в виду, что Удаленный реестр выполняет вход от имени "Локальная служба", и при настройке параметра из "системные службы", если оставить настройки безопасности по умолчанию, то там нет LOCAL SERVICE (там только система, администраторы и интерактивные), и политика не отрабатывает. Чтобы политика заработала, я добавил LOCAL SERVICE в security в настройках политики. Я не уверен стоит ли действовать так, или нужно менять учетную запись от имени которой работает служба (в моем конкретном случае Удаленный реестр).