joedevlin
Goto Top

Geplante Aufgabe via GPO - Benutzer

Guten Abend,

ich möchte auf meinen Servern per GPO eine geplante Aufgabe anlegen, die ein Script nach einem definierten Zeitplan ausführt.

Dieses Script könnte grundsätzlich ohne administrative Berechtigungen auf dem Server laufen, jedoch wüsste ich nicht, wie ich dies per GPO konfigurieren könnte.

In der GPO kann ich zwar einen AD-Benuter auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich. Somit bleibt mir aktuell nur der System-Benutzer, das funktioniert auch einwandfrei.

Falls es keine bessere Option gibt wäre noch die Frage, inwieweit sich das ausführen als System-Benutzer ohne erhöhte Berechtigungen von einem normalen Benutzer unterscheidet.

Gibt‘s vielleicht eine kluge andere Möglichkeit?

Viele Grüße

Content-ID: 627424

Url: https://administrator.de/forum/geplante-aufgabe-via-gpo-benutzer-627424.html

Ausgedruckt am: 25.12.2024 um 16:12 Uhr

emeriks
emeriks 03.12.2020 um 08:01:58 Uhr
Goto Top
Hi,
nach meinem Kenntnisstand laufen Task unter SYSTEM immer mit erhöhten Rechten.

In der GPO kann ich zwar einen AD-Benutzer auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich.
Ja, das ist richtig und Du hast da bei aktuellem Updatestand auch keine Change. Wenn Du da einen anderen Benutzer außer SYSTEM angibst, dann kann der Task nur laufen, wenn dieser Benutzer gerade angemeldet ist.

Alternativ könntest Du per Startup- oder Loginscript einen Task anlegen lassen und könntest dort das Passwort mitgeben. Aber egal, wie Du das da kaschierst: Ein Restrisiko bleibt, dass da jemand fähig genug ist, das Passwort zu extrahieren.

Oder Du erstellt auf einem dritten Computer einen Task, welcher unter einem Benutzer läuft, welcher remote auf den Zielcomputern Task erstellen darf und lässt das Script zum Erstellen der Task (mit dem kaschierten Passwort) lokal auf diesem dritten Rechner gespeichert, mit maximalen Schutz. Also verschlüsseln was zu verschlüsseln geht, Firewall davor, Computer "einbetonieren". Hoffen.
Oder Du lässt diesen dritten Computer keine Task erstellen sondern gleich das eigentliche Script remote auf den Computern ausführen. Dann hättest Du nur einen Computer, auf welchen Du manuell einen Task erstellen müsstest, kannst dort dann aber den ausführenden Benutzer samt Passwort in der GUI angeben.

E.
DerWoWusste
DerWoWusste 03.12.2020 um 08:55:08 Uhr
Goto Top
Moin.

Tut das Skript was für einzelne Benutzer oder für alle? Wenn das Systemkonto genügt, dann spricht auch nichts dagegen.
System läuft immer mit erhöhten Rechten, ja.
JoeDevlin
JoeDevlin 03.12.2020 um 15:52:39 Uhr
Goto Top
Vielen Dank für eure Antworten.

Der Aufwand für die Workarounds ist es m.E. nicht wert, dann lasse ich den Task doch eher als System laufen.

Es geht um die Inventarisierung der Systeme mittels der Software LOGINventory, hierfür gibt es zwei Varianten:

1. Remote WMI-Scanner -> Benutzer mit lokalen Administratorrechten auf den Systemen ist die Voraussetzung
2. Lokale Ausführung der Erfassung mit Logon-Script, geplanter Task, o.ä. -> Benutzer benötigt keine administrativen Berechtigungen

Variante 1 wird bei den Clients verwendet, für die Server würde ich gerne einen Benutzer ohne administrative Berechtigungen verwenden. Ich möchte jedoch die manuelle Konfiguration aller Server vermeiden, daher verwende ich dazu eine GPO.

Es scheint mir nun so, als wenn ich entweder eine GPO mit SYSTEM-Rechten ODER den Task manuell anlegen muss.