Можно ли создать службу в домене Active Directory?

Question

[Eugene_Corn]

Добрый день. Можно ли создать службу в Windows с исполняемым файлом с помощью средств Active Directory? Скрипты я пробовал, мне такой метод не подходит.

Answer 1

[Рональд Макдональд]

Службу или просто запуск?
Да, можно, курите "политики компьютера" и "политики пользователя".

UPD в связи с уточнением вопроса: скрипт и GPO в помощь.

Comments

[Eugene_Corn]

Именно создать новую службу.

[Рональд Макдональд]

Eugene_Corn, ну только GPO со скриптом. Не могу представить кейс, где скрипт бы не подошёл, службу можно даже батником создать.

[Eugene_Corn]

Рональд Макдональд, почему-то на часть компов скрипт службу ставит, а на другую часть нет, думал попробовать с помощью средств AD сделать. Буду значится разбираться с компами.

[Рональд Макдональд]

Eugene_Corn, тут надо смотреть, какую ошибку он выдаёт. Навскидку - не хватает прав, так что GPO тут бы спасло 100% - оно с наивысшими правами может выполняться.

[Eugene_Corn]

Рональд Макдональд, тогда вопрос не совсем по теме. При использовании планировщика задач для использования скрипта создания службы пишет Access is denied, задача создана на уровне пользователя с наивысшими правами, скрипт лежит на диске С:\Program Files. У части людей таким методом скрипт применяется, у другой нет. В скрипте две строчки: создать службу, запустить службу, именно на моменте создания службы пишет Access is denied.

[Рональд Макдональд]

Eugene_Corn, тогда надо перепроверить, что права действительно наивысшие (запустить скрипт с правами этого пользователя).

[Eugene_Corn]

Рональд Макдональд, то есть если пользователь просто пользователь, то с наивысшими правами ничего выполняться не будет, я правильно понимаю?

[Рональд Макдональд]

Eugene_Corn, если от его имени, то, вполне возможно, что, нет. Очевидно, там, где у вас скрипт выполняется, юзер просто имеет права локального админа.

[Eugene_Corn]

Рональд Макдональд, это странно, по тому, что все пользователи доменные и права у них естественно только пользователей, не больше не меньше.

[Рональд Макдональд]

Eugene_Corn, я бы запуска от имени пользователя NT\SYSTEM и не парился.

[Eugene_Corn]

Рональд Макдональд, можно ли создать запланированную задачу на уровне пользователя, чтобы она выполнялась от имени NT\SYSTEM? Когда я пробовал создать задачу для пользователя, чтобы скрипт выполнялся от имени админа контроллера домена, то задача просто-напросто не появлялась у пользователя в планировщике заданий.

[Рональд Макдональд]

Eugene_Corn, от имени пользователя - не надо. Через GPO разлейте просто скрипт, чтобы он выполнился однократно от имени системного пользователя, а в скрипте - создание и запуск службы.

[Eugene_Corn]

Рональд Макдональд, вы имеете ввиду создать сценарий, который применяется при запуске системы? Как тогда его можно настроить, чтобы он выполнялся единожды?

[Рональд Макдональд]

Eugene_Corn, можно не при запуске системы, а однократно на определённую дату с обязательным условием, чтобы задача выполнилась, если ПК был выключен и к назначенному времени не успел. Это настраивается при создании задачи в Планировщике.
Тогда создание службы произойдёт только один раз.

[Eugene_Corn]

Рональд Макдональд, такая задача создаётся в политиках пользователя или компьютера?

[Рональд Макдональд]

Eugene_Corn, я бы для компьютера делал.

[Eugene_Corn]

Рональд Макдональд, тогда, простите за глупый вопрос, как именно бы вы это сделали? Все мои попытки создать задачу в политиках компа либо терпят неудачу, либо не срабатывают, по тому как задача требует, чтобы нужный пользователь вошёл в систему, а через system комп вообще не видит её. Ну либо задача и не должна быть видима под локальным админом в планировщике задач?

[Рональд Макдональд]

Eugene_Corn, задача должна быть видна в любом случае.
Политику накидывают на комп, потому что она не привязана к конкретному пользователю, а должна выполняться именно на ПК).

Если создание задачи терпит поражение, то должна быть выдана какая-либо ошибка. Возможно, даже в "Просмотре событий" она засветится.

[Eugene_Corn]

Рональд Макдональд, у меня получилось. Создал задание в политике компа, от имени системы(System) с галочками, "Выполнять вне зависимости от регистрации пользователя" и "Выполнять с наивысшими правами". Большое спасибо!