Разрешить пользователям Windows менять системное время

По умолчанию, настройки текущего времени на компьютере могут менять лишь пользователи, которые входят в группу администраторов. Если же такая ситуация не устраивает, то исправляется она групповыми политиками на компьютере.

Редактируем групповые политики локально

Если нужно поменять настройки на единичном компьютере, то можно все это сделать в его собственных групповых политиках. Делается это следующим образом:

1. Нажав клавиши Win+R , набираете gpedit.msc . Нажимаете Enter .
2. В открывшемся окне, в древе слева выбираем «Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Предоставление прав пользователям«.
3. В списке ищем «Изменение системного времени«, нажимаем правой кнопкой и открываем Свойства. Там ставим галочку на «Определить следующие параметры политики» и выбираем нужных пользователей по их именам или по группам.

Редактируем групповые политики в домене

Открываем «Управление групповой политикой» (Панель управления — Администрирование — Управление групповой политикой). Если нужно, то создаем новый объект групповой политики, в противном случае редактируем уже существующий.

Выбираем «Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Предоставление прав пользователям«. Там в списке ищем «Изменение системного времени«, нажимаем правой кнопкой и открываем Свойства. Там ставим галочку на «Определить следующие параметры политики» и выбираем нужных пользователей.

Как разрешить стандартным пользователям Windows 10 изменять время и дату

По умолчанию только пользователи с правами администратора в Windows 10 могут изменять настройки времени и даты. Однако, если вы используете Windows 10 Professional или Enterprise Edition, вы можете использовать групповую политику, чтобы позволить стандартным пользователям изменять время и дату. Вот как это сделать.

Однако, если вы используете Windows Pro или Enterprise, вам хорошо идти. Будьте предупреждены, что групповая политика — довольно мощный инструмент, поэтому, если вы никогда раньше не использовали его, стоит потратить некоторое время, чтобы узнать, что он может сделать. Кроме того, если вы находитесь в сети компаний, сделайте все одолжение и сначала обратитесь к своему администратору. Если ваш рабочий компьютер является частью домена, также вероятно, что это часть политики группы домена, которая в любом случае заменит политику локальной группы.

Сначала войдите в систему с учетной записью администратора и откройте редактор групповой политики, нажав «Пуск», набрав «gpedit.msc», а затем нажмите «Ввод». В окне групповой политики в левой панели разверните узел «Конфигурация компьютера»> «Настройки Windows»> «Параметры безопасности»> «Локальные политики»> «Назначения прав пользователя». Справа найдите элемент «Изменить системное время» и дважды щелкните его.

На вкладке «Локальная безопасность» в появившемся окне свойств обратите внимание, что по умолчанию в настоящее время в списке разрешены только группы «Администраторы» и «ЛОКАЛЬНАЯ СЕРВИС». Нажмите «Добавить пользователя или группу».

По умолчанию Windows не включает имена групп при выполнении поиска, поэтому сначала вам нужно включить это. Нажмите кнопку «Типы объектов».

В окне «Типы объектов» установите флажок «Группы», чтобы включить его, и нажмите «ОК».

В поле «Ввести имена объектов для выбора» введите «Пользователи», а затем нажмите кнопку «Проверить имена». Windows будет проверять имена, которые можно использовать, и затем заполнить поле с полным именем группы ( Users). Когда это будет сделано, нажмите «ОК».

В окне свойств для установки времени системы вы можете увидеть, что теперь группа пользователей добавлена ​​в список разрешений. Нажмите «ОК», чтобы применить настройки и вернуться в редактор групповой политики.

И это все, что нужно. Теперь вы можете выйти из редактора групповой политики. Чтобы проверить новые настройки, просто войдите со стандартной учетной записью пользователя и попробуйте изменить время или дату. И если вы передумаете и хотите, чтобы стандартные пользователи не меняли время и дату, просто используйте редактор групповой политики, чтобы вернуться к этому параметру и удалить группу «Пользователи» из списка разрешений.

Изменение системного времени — параметр политики безопасности Change the system time — security policy setting

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности, которые следует учитывать при изменении параметра политики безопасности системного времени. Describes the best practices, location, values, policy management, and security considerations for the Change the system time security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут настраивать время на внутренних часах устройства. This policy setting determines which users can adjust the time on the device’s internal clock. Это право позволяет пользователю компьютера изменять дату и время, связанные с записями в журналах событий, транзакциях базы данных и файловой системе. This right allows the computer user to change the date and time associated with records in the event logs, database transactions, and the file system. Это право также требуется процессу, который выполняет синхронизацию времени. This right is also required by the process that performs time synchronization. Этот параметр не влияет на способность пользователя изменять часовой пояс или другие характеристики системного времени. This setting does not impact the user’s ability to change the time zone or other display characteristics of the system time. Сведения о назначении права на изменение часовой пояс см. в подмене часовой пояс. For info about assigning the right to change the time zone, see Change the time zone.

Константа: SeSystemtimePrivilege Constant: SeSystemtimePrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Не определено Not Defined

Рекомендации Best practices

• Ограничив право пользователя на изменение системного времени пользователями, у них есть законная необходимость изменить системное время. Restrict the Change the system time user right to users with a legitimate need to change the system time.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию члены групп администраторов и локальных служб имеют это право на рабочих станциях и серверах. By default, members of the Administrators and Local Service groups have this right on workstations and servers. Члены групп «Администраторы», «Операторы сервера» и «Локальные службы» имеют это право на контроллерах домена. Members of the Administrators, Server Operators, and Local Service groups have this right on domain controllers.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not Defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators Операторы сервера Server Operators Локализованная служба Local Service
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators Локализованная служба Local Service
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Администраторы Administrators Операторы сервера Server Operators Локализованная служба Local Service
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators Локализованная служба Local Service
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators Локализованная служба Local Service

Управление политикой Policy management

В этом разделе описываются функции, средства и рекомендации, которые помогут вам управлять этой политикой. This section describes features, tools and guidance to help you manage this policy.

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Пользователи, которые могут изменить время на компьютере, могут вызвать несколько проблем. Users who can change the time on a computer could cause several problems. Например: For example:

• Отметки времени в записях журнала событий могут быть неточны Time stamps on event log entries could be made inaccurate
• Отметки времени для созданных или измененных файлов и папок могут быть неправильными Time stamps on files and folders that are created or modified could be incorrect
• Компьютеры, принадлежащие домену, могут не иметь возможности самостоятельной проверки подлинности Computers that belong to a domain might not be able to authenticate themselves
• Пользователи, которые пытаются войти в домен с устройств с неточным временем, могут не иметь возможности проверки подлинности. Users who try to log on to the domain from devices with inaccurate time might not be able to authenticate.

Кроме того, так как протокол проверки подлинности Kerberos требует, чтобы часы запрашивающего и аутентификация синхронизировались в течение определенного администратором периода отступа, злоумышленник, который изменяет время устройства, может привести к тому, что компьютер не сможет получить или предоставить билеты протокола Kerberos. Also, because the Kerberos authentication protocol requires that the requester and authenticator have their clocks synchronized within an administrator-defined skew period, an attacker who changes a device’s time may cause that computer to be unable to obtain or grant Kerberos protocol tickets.

Риск таких событий снижается на большинстве контроллеров домена, серверов-членов и компьютеров конечных пользователей, так как служба времени Windows автоматически синхронизирует время с контроллерами домена следующими способами: The risk from these types of events is mitigated on most domain controllers, member servers, and end-user computers because the Windows Time Service automatically synchronizes time with domain controllers in the following ways:

• Все настольные клиентские устройства и серверы-члены используют контроллер домена для проверки подлинности в качестве партнера по входящий времени. All desktop client devices and member servers use the authenticating domain controller as their inbound time partner.
• Все контроллеры домена в домене назначают основного мастера операций эмулятора контроллера домена (PDC) в качестве партнера по работе с входящие данными времени. All domain controllers in a domain nominate the primary domain controller (PDC) emulator operations master as their inbound time partner.
• Все хозяини операций эмулятора PDC следуют иерархии доменов в выборе партнера по входящие времени. All PDC emulator operations masters follow the hierarchy of domains in the selection of their inbound time partner.
• Хозяин операций эмулятора PDC в корне домена является полномочного для организации. The PDC emulator operations master at the root of the domain is authoritative for the organization. Поэтому рекомендуется настроить этот компьютер для синхронизации с надежным внешним сервером времени. Therefore, we recommend that you configure this computer to synchronize with a reliable external time server.

Эта уязвимость становится гораздо более серьезной, если злоумышленник может изменить системное время, а затем остановить службу времени Windows или перенастроить ее для синхронизации с сервером времени, который не является точным. This vulnerability becomes much more serious if an attacker is able to change the system time and then stop the Windows Time Service or reconfigure it to synchronize with a time server that is not accurate.

Противодействие Countermeasure

Ограничив право пользователя на изменение системного времени пользователями, которые действительно должны изменить системное время, например членамИ ИТ-группы. Restrict the Change the system time user right to users with a legitimate need to change the system time, such as members of the IT team.

Возможное влияние Potential impact

Это не должно влиять на работу, так как синхронизация времени для большинства организаций должна быть полностью автоматизирована для всех компьютеров, принадлежащих домену. There should be no impact because time synchronization for most organizations should be fully automated for all computers that belong to the domain. Компьютеры, не принадлежащие домену, должны быть настроены для синхронизации с внешним источником, например веб-службой. Computers that do not belong to the domain should be configured to synchronize with an external source, such as a web service.