chp879
Goto Top

Aufgabenplanung User mit Recht Anmelden als Stapelverarbeitungsauftrag funktioniert nicht

Situation:

- Server 2008R2

- Aufgabenplanung mit neuer Aufgabe -> Programm starten -> Batchjob von Laufwerk "C:\Ordner1\"

- Server in Domäne, User "fktest" auch Domänenkonto


1. Wenn keine GPO eingestellt ist (Weder Computer noch Benutzer) und der User "fktest" in der lokalen Gruppe "Administrator" oder "Sicherungs-Operatoren" ist dann funktoniert alles ohne Probleme


2. Ich möchte aber das der User "fktest" nicht in einer der beiden genannten lokalen Gruppen ist und es trotzdem funktioniert, deshalb in GPO eingestellt das Recht "Anmelden als Stapelverarbeitungsauftrag", den User "Domäne\fktest" hinzugefügt. Ergebnis: Job funktoniert nicht mehr, Ergebnis der letzten Ausführung: Fehler 0x5


Ich bekomme es nicht hin! User hätte das Recht, GPO zieht auch, habe auch noch zusätzlich das Recht "Anmelden als Dienst" und "Teil des Betriebssystems" vergeben, keine Änderung, Fehler 0x5


Es war auch so, dass nachdem ich die GPO aktiviert habe und nur der User "Domäne/fktest" beim Recht "Anmelden als Stapelverarbeitungsauftrag" drin war, das mit den lokalen Gruppen "Administratoren" und "Sicherungs-Operatoren" auch nicht mehr funktoniert hat, musst in der GPO beim Recht noch die beiden Gruppen hinzufügen, dann funktoniert es wieder mit den lokalen Gruppen, nur nicht der direkt darin stehende User, dann Fehler 0x5


Diese Gruppen müssen noch irgendwo anders Rechte besitzen, keine andere GPO ist aktiv, habe extra eine Test-OU im AD wo ich User und Server ohne GPOs habe!


Kann mir hier jemand helfen???


Danke


P.S.: Hacken bei "Mit höchsten Berechtigungen ausführen" hilft auch nichts -> 0x5

Content-ID: 238460

Url: https://administrator.de/forum/aufgabenplanung-user-mit-recht-anmelden-als-stapelverarbeitungsauftrag-funktioniert-nicht-238460.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

emeriks
Lösung emeriks 19.05.2014 aktualisiert um 21:29:46 Uhr
Goto Top
Zitat von @chp879:

Es war auch so, dass nachdem ich die GPO aktiviert habe und nur der User "Domäne/fktest" beim Recht "Anmelden
als Stapelverarbeitungsauftrag" drin war, das mit den lokalen Gruppen "Administratoren" und
"Sicherungs-Operatoren" auch nicht mehr funktoniert hat, musst in der GPO beim Recht noch die beiden Gruppen
hinzufügen, dann funktoniert es wieder mit den lokalen Gruppen, nur nicht der direkt darin stehende User, dann Fehler 0x5

Ja, da muss man aufpassen. Alle Richtlinien, bei denen man den Benutzern am lokalen Computer "Rechte gibt", wirken ersetzend. Man verstehe das besser als: "man sagt dem Computer, wer was darf". Das ist bei eingeschränkten Gruppen genauso wie bei NTFS- und Registry-Rechten oder eben auch bei lokalen Priviliegien.
Sprich: ja, wenn Du die lokalen Privilegien per GPO vergeben willst, dann musst Du vorher nachschauen, wer denn z.Z. alles hat, dann diese in die GPO aufnehmen zzgl. oder abzgl. jene, die Du rein- oder rausnehmen willst.

Weiterhin mus der Benutzer auch als Nicht-Administrator dann alle nötigen Zugriffsrechte für den Job haben. Also auch auf die auszuführende Batch, das Script oder die EXE und falls irgendwo Daten gelsen oder geschrieben werden müssen, dann dort auch.

E.
chp879
chp879 19.05.2014 um 21:26:30 Uhr
Goto Top
Hallo,

Problem war das ich im Batch den "shutdown"-Behfehl von Windows genutzt habe und ich neben den lokalen Rechten "Anmelden als Stapelverarbeitungsauftrag" auch noch

- Erzwingen des Herunterfahrens von einem Remotesystem aus

- Herunterfahren des Systems

als Berechtigung zuweisen musste, dies ist nötig, da ansonsten der shutdown-Befehl nicht ausgeführt werden kann.

Danke für die Denkhilfe