Geplante Aufgabe via GPO - Benutzer
Guten Abend,
ich möchte auf meinen Servern per GPO eine geplante Aufgabe anlegen, die ein Script nach einem definierten Zeitplan ausführt.
Dieses Script könnte grundsätzlich ohne administrative Berechtigungen auf dem Server laufen, jedoch wüsste ich nicht, wie ich dies per GPO konfigurieren könnte.
In der GPO kann ich zwar einen AD-Benuter auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich. Somit bleibt mir aktuell nur der System-Benutzer, das funktioniert auch einwandfrei.
Falls es keine bessere Option gibt wäre noch die Frage, inwieweit sich das ausführen als System-Benutzer ohne erhöhte Berechtigungen von einem normalen Benutzer unterscheidet.
Gibt‘s vielleicht eine kluge andere Möglichkeit?
Viele Grüße
ich möchte auf meinen Servern per GPO eine geplante Aufgabe anlegen, die ein Script nach einem definierten Zeitplan ausführt.
Dieses Script könnte grundsätzlich ohne administrative Berechtigungen auf dem Server laufen, jedoch wüsste ich nicht, wie ich dies per GPO konfigurieren könnte.
In der GPO kann ich zwar einen AD-Benuter auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich. Somit bleibt mir aktuell nur der System-Benutzer, das funktioniert auch einwandfrei.
Falls es keine bessere Option gibt wäre noch die Frage, inwieweit sich das ausführen als System-Benutzer ohne erhöhte Berechtigungen von einem normalen Benutzer unterscheidet.
Gibt‘s vielleicht eine kluge andere Möglichkeit?
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 627424
Url: https://administrator.de/forum/geplante-aufgabe-via-gpo-benutzer-627424.html
Ausgedruckt am: 25.12.2024 um 16:12 Uhr
3 Kommentare
Neuester Kommentar
Hi,
nach meinem Kenntnisstand laufen Task unter SYSTEM immer mit erhöhten Rechten.
Alternativ könntest Du per Startup- oder Loginscript einen Task anlegen lassen und könntest dort das Passwort mitgeben. Aber egal, wie Du das da kaschierst: Ein Restrisiko bleibt, dass da jemand fähig genug ist, das Passwort zu extrahieren.
Oder Du erstellt auf einem dritten Computer einen Task, welcher unter einem Benutzer läuft, welcher remote auf den Zielcomputern Task erstellen darf und lässt das Script zum Erstellen der Task (mit dem kaschierten Passwort) lokal auf diesem dritten Rechner gespeichert, mit maximalen Schutz. Also verschlüsseln was zu verschlüsseln geht, Firewall davor, Computer "einbetonieren". Hoffen.
Oder Du lässt diesen dritten Computer keine Task erstellen sondern gleich das eigentliche Script remote auf den Computern ausführen. Dann hättest Du nur einen Computer, auf welchen Du manuell einen Task erstellen müsstest, kannst dort dann aber den ausführenden Benutzer samt Passwort in der GUI angeben.
E.
nach meinem Kenntnisstand laufen Task unter SYSTEM immer mit erhöhten Rechten.
In der GPO kann ich zwar einen AD-Benutzer auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich.
Ja, das ist richtig und Du hast da bei aktuellem Updatestand auch keine Change. Wenn Du da einen anderen Benutzer außer SYSTEM angibst, dann kann der Task nur laufen, wenn dieser Benutzer gerade angemeldet ist.Alternativ könntest Du per Startup- oder Loginscript einen Task anlegen lassen und könntest dort das Passwort mitgeben. Aber egal, wie Du das da kaschierst: Ein Restrisiko bleibt, dass da jemand fähig genug ist, das Passwort zu extrahieren.
Oder Du erstellt auf einem dritten Computer einen Task, welcher unter einem Benutzer läuft, welcher remote auf den Zielcomputern Task erstellen darf und lässt das Script zum Erstellen der Task (mit dem kaschierten Passwort) lokal auf diesem dritten Rechner gespeichert, mit maximalen Schutz. Also verschlüsseln was zu verschlüsseln geht, Firewall davor, Computer "einbetonieren". Hoffen.
Oder Du lässt diesen dritten Computer keine Task erstellen sondern gleich das eigentliche Script remote auf den Computern ausführen. Dann hättest Du nur einen Computer, auf welchen Du manuell einen Task erstellen müsstest, kannst dort dann aber den ausführenden Benutzer samt Passwort in der GUI angeben.
E.