Как правильно создать назначенное задание, чтобы работало с привилегиями?
Имеется контроллер домена, редактор групповой политики (gpmc.msc), рабочие станции, которые были введены в домен не с самой их установки.
Необходимо удалить некоторые программы, через bat скрипт, командой MsiExec /i и параметрами тихой установки /qn
Создаю запланированную задачу (Windows 7 и выше), действие = обновить, если в выборе пользователя указать %LogonDomain%\%LogonUser% и выполнение с наивысшими правами, то bat Файл на рабочей станции запускается, но требуется ввод логана и пароля администратора домена. Если ввести, все работает.
А вот если в задании выбрать пользователя администратора домена (чтобы пользователям домена не надо было вводить логин и пароль администратора (для автоматического выполнения)), то на рабочих станциях в событиях появляется событие задания с ошибкой "отказано в доступе". Проблема и в user configuration и в Computer configuration. При выборе пользователя "Система" проблема остается.
Роман Безруков, на батники, которые не требуют права админ, работают. А вот которые требуют, беда.. С них я начинал до планировщика. Перечитая кучу страниц гугл, выяснилось, что многие рекомендую планировщик, дабы не сталкиваться с проблемами логон скриптов. Не говоря уже о том, что в теории эти скрипты должны быть на сетевой шаре с samba и как к ней привязать администраторов винды..
Не говоря уже о том, что в теории эти скрипты должны быть на сетевой шаре с samba и как к ней привязать администраторов винды..
а эти скрипты и должны быть на шаре!
и как к ней привязать администраторов винды..
ни как. такие шары априори ридонли для всех. а права запуска логично через шедулер..
вопрос - где выполняется задание планировщика? вы его создаете для рабочих станций?.. возможно тут и всплывает отличие самбы от оригинала (сопоставление)..
Самбу если подвязываешь к домену, то она даже при гостевом доступе запрашивает права. Самба умеет с пользователями винды и домена работать, т.е. на каталоги ntfs права назначать. Но только домена. Гостевой доступ она сразу убиает.
bat файл на рабочей станции. Ошибка доступа появляется не на файл, а на само задание. С наивысшими правами от SYSTEM, только с другой ошибкой, которая гласит "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".
Alexey Dmitriev, в бат файле ничего интересного, кроме заготовки для теста, которую повторно не сложно развернуть для теста. После срабатывания, там будет совсем другое..
@echo off
C:\Windows\System32\MsiExec.exe /I{90160000-008F-0000-1000-0000000FF1CE} /qn
Через политику с назначенным заданием, в конфигурации пользователя, задание с наивысшими правами от LOCAL SYSTEM, так же получаем "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".
Вячеслав Кравцов, так вам надо удалить или установить пакет? у вас ключ /i указывает на установку.
правильная команда, по-моему, для удаления должна быть такая:
Вячеслав Кравцов, причем здесь администратор домена, чего вы к нему привязались - он вообще может не иметь никаких админских прав на машинах? Я вас просил запустить из под LOCAL SYSTEM
По крайней мере, так запускается. И судя по процессам на самой станции, установка от LOCAL SYSTEM идет.
А вот через планировщик, через групповые политики, хрен там. Там в событиях ошибка
Элемент предпочтения пользователь "app2" в объекте групповой политики "msiexec {8D1495D9-73D7-4719-A239-4227BB12691C}" не применен по причине ошибки с кодом '0x80070534 Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.' Эта ошибка была отключена.
Если создать через gpmc в политикой, конфигурация пользователя, оставив пользователя %LogonDomain%\%LogonUser% , то при старте скрипта, появляется запрос логина и пароля администратора (что является проблемой). Если поставить галочку "Выполнить с наивысшими правами", проблема та же. Если в скрипте указать тихий режим, то в планировщике появляется результат "Оператор или администратор отклонил запрос". Если делать в конфигурации компьютера, от пользователя NT AUTHORITY\SYSTEM, то тоже самое "Оператор или администратор отклонил запрос" Но появляется проблема в том, что некоторые задачи нужно отобразить на рабочем столе пользователя, но так, чтобы задача была запущена с админ правами.
А еще, почему то, если выбрать "Выполнять вне зависимости от регистрации пользователя", то задание вообще не появляется в планировщике, какой бы ни был пользователь выбран.
Если бы все так просто было.
Если стартовать прямиком с рабочей станции, хоть локальным администратором, хоть админом домена, то все работает. Но дело то в том, что это плохой вариант, бегать по сотням рабочим станциям.
Если через групповую политику создавать задачу, при выборе запуска от обычного пользователя, скрипт запускается, но запрашивает логин и пароль админа. Если запускать от админа домена, то ничего не запускается и в событиях на рабочей станции, появляется варнинг на политике планировщика, с текстом "отказано в доступе" с кодом 5. Это при том, что администратор домена, находится в разных группах администраторов домена, а группа администраторов домена на локальном компьютере находится в группе локальных администраторов. Так же были попытки выставить запуск от SYSTEM, LOCAL SYSTEM и еще кучей разных. Если с администратора домена появляется хотя бы ошибка "отказано в доступе", то с другими вообще что то типа "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".
Все еще осложняется тем, что контролер домена samba. А рабочая станция на windows 11. Хотя, пишут, что это не должно никак влиять.
после всего прочтенного..
Вы можете удаленно запустить приоритетное задание скриптом?
не обязательно с сервера, со своего рабочего места?
если да - осталось дополнить скрипт получением списка рабочих станций, потом что то типа foreach...
если нет - научиться удаленно запустить приоритетное задание скриптом ))