1
Scheduled Task unter SYSTEM-Account
Ein kleines Versprechen vorab: Falls einer eurer Lösungsvorschläge geholfen hat, werde
ich es euch wissen lassen. Ebenso wenn ich zwischenzeitlich eine Lösung gefunden habe.
Hallo,
ok, nun zu meinem Problem. Ich betreue 4 Computer-Pools mit je 30 Rechnern (Win 2k3-Domäne). Diese
wurden bisher 22 Uhr über einen Task auf dem Server per shutdown-Befehl heruntergefahren
(der Task wurde dabei unter den Rechten eines Domänenadmins ausgeführt).
Um Strom zu sparen, sollen die Rechner jetzt so konfiguriert werden, dass sie nach 30 min.
in den Standbymodus wechseln. Sind die Rechner aber im Standbymodus, lassen sie sich nicht
ohne weiteres über den Task auf dem Server aufwecken um sie dann herunterzufahren.
Dazu wären einige Einstellungen der Netzwerkarte auf den Clients notwendig was zu umständlich
wäre und auch nicht bei allen PCs möglich ist.
Aus diesem Grund sollen die Scheduled Tasks auf den Clients verteilt werden, so dass sie
lokal von den Clients gestartet werden. Prinzipiell gibt es hier ja mindestens 2 Möglichkeiten:
Kopieren der vorbereiteten .job-Datei von einem UNC-Pfad nach %windir%\Tasks
(wie hier beschrieben: Benutzerdefinierten Task für Taskplaner per GPO verteilen (mit erweiterten Einstellungen)). Oder über
den schtasks-Befehl den gesamten Task per Skript auf dem Client einrichten und die .job-Datei mit
Zusatztools, z.B. waketask, patchen um Feineinstellungen vorzunehmen (wie z.B. reaktivieren
des PCs aus dem Standbymodus, in meinem Fall wichtig).
Das eigentliche Problem ist nun, dass die Tasks unter NT AUTHORITY\SYSTEM nicht wie gewünscht
ausgeführt werden, d.h. es erscheint keine grafische Oberfläche (bin mir nicht sicher ob dieses Problem
schon immer da war, oder erst seit SP3). Unter "Status" wird der Task als gestartet angegeben, ein
Fehlercode wird nicht ausgegeben, der eventviewer schweigt sich auch aus.
Bei Angabe eines Benutzeraccounts samt Passwort funktioniert es jedoch. Als Test hatte ich einfach
versucht shutdown mit der grafischen Benutzeroberfläche (shutdown -i) zu starten. Das muss funktionieren,
da die User über das Herunterfahren informiert werden sollen und auch genug Zeit bekommen, ihre
Dokumente zu speichern. Wie gesagt, unter einem Benutzeraccount klappt es, unter SYSTEM nicht.
Ich habe den Taskplaner-Dienst auch so konfiguriert, dass der "Datenaustausch zwischen Dienst
und Desktop" zugelassen wird. Liest man die Erklärung zu dieser Einstellung, meint man auch,
dass es auf jeden Fall funktionieren müsste. Tut es aber nicht.
Was ich nicht machen möchte ist folgendes:
-Auf jedem PC per Turnschuhadministration den Task so einrichten, dass er unter einem bestimmten
Benutzeraccount läuft
-Das gleiche wie oben aber per Skript, so dass das Passwort im Klartext über die Leitung läuft.
Kennt ihr eine Lösung zu diesem Problem? Es wurde auch schon empfohlen, einen extra Benutzer
einzurichten, welcher sich nicht interaktiv anmelden darf und nur die Rechte hat, um die Tasks
auszuführen. Zum einen weiß ich nicht, wie man hier am besten vorgeht, zum anderen bin ich mir
fast sicher, dass das auch irgendwie missbraucht werden könnte.
Das Einführen der Group Policy Preferences Client Side extension ist bei uns ebenfalls nicht vorgesehen.
Die Einstellung "Anmelden als Stapelverarbeitungsauftrag" dürfte hier nicht entscheidend sein (habe ich
trotzdem schon versucht, wobei das Konto System ja eigentlich automatisch drin ist).
Umgebung:
Server 2k3
WinXP, SP3
Danke für eure Hilfe,
ok, nun zu meinem Problem. Ich betreue 4 Computer-Pools mit je 30 Rechnern (Win 2k3-Domäne). Diese
wurden bisher 22 Uhr über einen Task auf dem Server per shutdown-Befehl heruntergefahren
(der Task wurde dabei unter den Rechten eines Domänenadmins ausgeführt).
Um Strom zu sparen, sollen die Rechner jetzt so konfiguriert werden, dass sie nach 30 min.
in den Standbymodus wechseln. Sind die Rechner aber im Standbymodus, lassen sie sich nicht
ohne weiteres über den Task auf dem Server aufwecken um sie dann herunterzufahren.
Dazu wären einige Einstellungen der Netzwerkarte auf den Clients notwendig was zu umständlich
wäre und auch nicht bei allen PCs möglich ist.
Aus diesem Grund sollen die Scheduled Tasks auf den Clients verteilt werden, so dass sie
lokal von den Clients gestartet werden. Prinzipiell gibt es hier ja mindestens 2 Möglichkeiten:
Kopieren der vorbereiteten .job-Datei von einem UNC-Pfad nach %windir%\Tasks
(wie hier beschrieben: Benutzerdefinierten Task für Taskplaner per GPO verteilen (mit erweiterten Einstellungen)). Oder über
den schtasks-Befehl den gesamten Task per Skript auf dem Client einrichten und die .job-Datei mit
Zusatztools, z.B. waketask, patchen um Feineinstellungen vorzunehmen (wie z.B. reaktivieren
des PCs aus dem Standbymodus, in meinem Fall wichtig).
Das eigentliche Problem ist nun, dass die Tasks unter NT AUTHORITY\SYSTEM nicht wie gewünscht
ausgeführt werden, d.h. es erscheint keine grafische Oberfläche (bin mir nicht sicher ob dieses Problem
schon immer da war, oder erst seit SP3). Unter "Status" wird der Task als gestartet angegeben, ein
Fehlercode wird nicht ausgegeben, der eventviewer schweigt sich auch aus.
Bei Angabe eines Benutzeraccounts samt Passwort funktioniert es jedoch. Als Test hatte ich einfach
versucht shutdown mit der grafischen Benutzeroberfläche (shutdown -i) zu starten. Das muss funktionieren,
da die User über das Herunterfahren informiert werden sollen und auch genug Zeit bekommen, ihre
Dokumente zu speichern. Wie gesagt, unter einem Benutzeraccount klappt es, unter SYSTEM nicht.
Ich habe den Taskplaner-Dienst auch so konfiguriert, dass der "Datenaustausch zwischen Dienst
und Desktop" zugelassen wird. Liest man die Erklärung zu dieser Einstellung, meint man auch,
dass es auf jeden Fall funktionieren müsste. Tut es aber nicht.
Was ich nicht machen möchte ist folgendes:
-Auf jedem PC per Turnschuhadministration den Task so einrichten, dass er unter einem bestimmten
Benutzeraccount läuft
-Das gleiche wie oben aber per Skript, so dass das Passwort im Klartext über die Leitung läuft.
Kennt ihr eine Lösung zu diesem Problem? Es wurde auch schon empfohlen, einen extra Benutzer
einzurichten, welcher sich nicht interaktiv anmelden darf und nur die Rechte hat, um die Tasks
auszuführen. Zum einen weiß ich nicht, wie man hier am besten vorgeht, zum anderen bin ich mir
fast sicher, dass das auch irgendwie missbraucht werden könnte.
Das Einführen der Group Policy Preferences Client Side extension ist bei uns ebenfalls nicht vorgesehen.
Die Einstellung "Anmelden als Stapelverarbeitungsauftrag" dürfte hier nicht entscheidend sein (habe ich
trotzdem schon versucht, wobei das Konto System ja eigentlich automatisch drin ist).
Umgebung:
Server 2k3
WinXP, SP3
Danke für eure Hilfe,
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 139644
Url: https://administrator.de/contentid/139644
Printed on: April 20, 2024 at 00:04 o'clock
1 Comment
Nachdem alle anderen Möglichkeiten zu umständlich erscheinen, werden wir versuchen mit den Group Policy Preferences Client Side Extensions eine Lösung zu finden. Hat auch den Vorteil, dass man sich mit den neuen Gruppenrichtlinien schon mal vertraut machen kann, bevor auf Server 2008 R2 umgestiegen wird.
