Как правильно создать назначенное задание, чтобы работало с привилегиями?

Если создать через gpmc в политикой, конфигурация пользователя, оставив пользователя %LogonDomain%\%LogonUser% , то при старте скрипта, появляется запрос логина и пароля администратора (что является проблемой). Если поставить галочку "Выполнить с наивысшими правами", проблема та же. Если в скрипте указать тихий режим, то в планировщике появляется результат "Оператор или администратор отклонил запрос". Если делать в конфигурации компьютера, от пользователя NT AUTHORITY\SYSTEM, то тоже самое "Оператор или администратор отклонил запрос" Но появляется проблема в том, что некоторые задачи нужно отобразить на рабочем столе пользователя, но так, чтобы задача была запущена с админ правами.
А еще, почему то, если выбрать "Выполнять вне зависимости от регистрации пользователя", то задание вообще не появляется в планировщике, какой бы ни был пользователь выбран.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev,

psexec \\DESKTOP-4H0CJMC -s -i C:/test/install.bat

PsExec v2.43 - Execute processes remotely
Copyright (C) 2001-2023 Mark Russinovich
Sysinternals - www.sysinternals.com



C:\Windows\system32>C:\test\setup.exe /configure

По крайней мере, так запускается. И судя по процессам на самой станции, установка от LOCAL SYSTEM идет.
А вот через планировщик, через групповые политики, хрен там. Там в событиях ошибка

Элемент предпочтения пользователь "app2" в объекте групповой политики "msiexec {8D1495D9-73D7-4719-A239-4227BB12691C}" не применен по причине ошибки с кодом '0x80070534 Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.' Эта ошибка была отключена.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Самбу если подвязываешь к домену, то она даже при гостевом доступе запрашивает права. Самба умеет с пользователями винды и домена работать, т.е. на каталоги ntfs права назначать. Но только домена. Гостевой доступ она сразу убиает.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev, еще бы знать, как от LOCAL SYSTEM запустить через psexec..

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Если бы все так просто было.
Если стартовать прямиком с рабочей станции, хоть локальным администратором, хоть админом домена, то все работает. Но дело то в том, что это плохой вариант, бегать по сотням рабочим станциям.
Если через групповую политику создавать задачу, при выборе запуска от обычного пользователя, скрипт запускается, но запрашивает логин и пароль админа. Если запускать от админа домена, то ничего не запускается и в событиях на рабочей станции, появляется варнинг на политике планировщика, с текстом "отказано в доступе" с кодом 5. Это при том, что администратор домена, находится в разных группах администраторов домена, а группа администраторов домена на локальном компьютере находится в группе локальных администраторов. Так же были попытки выставить запуск от SYSTEM, LOCAL SYSTEM и еще кучей разных. Если с администратора домена появляется хотя бы ошибка "отказано в доступе", то с другими вообще что то типа "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".
Все еще осложняется тем, что контролер домена samba. А рабочая станция на windows 11. Хотя, пишут, что это не должно никак влиять.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Роман Безруков, на батники, которые не требуют права админ, работают. А вот которые требуют, беда.. С них я начинал до планировщика. Перечитая кучу страниц гугл, выяснилось, что многие рекомендую планировщик, дабы не сталкиваться с проблемами логон скриптов. Не говоря уже о том, что в теории эти скрипты должны быть на сетевой шаре с samba и как к ней привязать администраторов винды..

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Роман Безруков, небольшая опечатка. Поправил. На суть проблемы не влияет. Планировщик все равно, даже не запускает bat файл.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev, если запускаем от администратора домена, получаем

PsExec v2.43 - Execute processes remotely
Copyright (C) 2001-2023 Mark Russinovich
Sysinternals - www.sysinternals.com

„«п Їа®¤®«¦Ґ­Ёп ­ ¦¬ЁвҐ «оЎго Є« ўЁиг . . .
C:\uninstall2.bat exited on DESKTOP-4H0CJMC with error code 0.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev, в бат файле ничего интересного, кроме заготовки для теста, которую повторно не сложно развернуть для теста. После срабатывания, там будет совсем другое..

@echo off
C:\Windows\System32\MsiExec.exe /I{90160000-008F-0000-1000-0000000FF1CE} /qn

Через политику с назначенным заданием, в конфигурации пользователя, задание с наивысшими правами от LOCAL SYSTEM, так же получаем "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".

Как правильно создать назначенное задание, чтобы работало с привилегиями?

bat файл на рабочей станции. Ошибка доступа появляется не на файл, а на само задание. С наивысшими правами от SYSTEM, только с другой ошибкой, которая гласит "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".

Как раздать интернет используя netns и iptables?

Это хорошая идея.

Как раздать интернет используя netns и iptables?

ValdikSS, netns используется потому, что через него заварачивается весь трафик в приложение, которое не умеет с разными ip выходить наружу. Запускается оно внутри netns и уже с определенными правилами заворачивается на него. На схеме это не указано. Естественно, правила forward отличаются от реальных. И в некоторых случаях, трафик должен от разных ip ходить разными сетями.

Как раздать интернет используя netns и iptables?

Руслан Федосеев, спасибо. Трафик побежал.
Только одна проблема появляется, после добавления правила (ip rule add from 192.168.1.0/24 table t1) и добавления маршрута, например ip route add default via 10.0.2.1 table t1, отваливается любое подключение из локальной сети к 192.168.1.1 в данном случае ssh и http.

Как раздать интернет используя netns и iptables?

А как маршруты с разных ip гнать на разные netns? Знаю как добавить мпаршрут через конкретный шлюз, но как для конкретного ip из локальной сети - не знаю.

Как направить определенное приложение через определенный ip средставми iptables?

На мысли подтолкнуло, буду пробовать.