3
Geplante Aufgabe via GPO - Benutzer
Guten Abend,
ich möchte auf meinen Servern per GPO eine geplante Aufgabe anlegen, die ein Script nach einem definierten Zeitplan ausführt.
Dieses Script könnte grundsätzlich ohne administrative Berechtigungen auf dem Server laufen, jedoch wüsste ich nicht, wie ich dies per GPO konfigurieren könnte.
In der GPO kann ich zwar einen AD-Benuter auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich. Somit bleibt mir aktuell nur der System-Benutzer, das funktioniert auch einwandfrei.
Falls es keine bessere Option gibt wäre noch die Frage, inwieweit sich das ausführen als System-Benutzer ohne erhöhte Berechtigungen von einem normalen Benutzer unterscheidet.
Gibt‘s vielleicht eine kluge andere Möglichkeit?
Viele Grüße
ich möchte auf meinen Servern per GPO eine geplante Aufgabe anlegen, die ein Script nach einem definierten Zeitplan ausführt.
Dieses Script könnte grundsätzlich ohne administrative Berechtigungen auf dem Server laufen, jedoch wüsste ich nicht, wie ich dies per GPO konfigurieren könnte.
In der GPO kann ich zwar einen AD-Benuter auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich. Somit bleibt mir aktuell nur der System-Benutzer, das funktioniert auch einwandfrei.
Falls es keine bessere Option gibt wäre noch die Frage, inwieweit sich das ausführen als System-Benutzer ohne erhöhte Berechtigungen von einem normalen Benutzer unterscheidet.
Gibt‘s vielleicht eine kluge andere Möglichkeit?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 627424
Url: https://administrator.de/contentid/627424
Printed on: April 19, 2024 at 01:04 o'clock
3 Comments
Latest comment
Hi,
nach meinem Kenntnisstand laufen Task unter SYSTEM immer mit erhöhten Rechten.
Alternativ könntest Du per Startup- oder Loginscript einen Task anlegen lassen und könntest dort das Passwort mitgeben. Aber egal, wie Du das da kaschierst: Ein Restrisiko bleibt, dass da jemand fähig genug ist, das Passwort zu extrahieren.
Oder Du erstellt auf einem dritten Computer einen Task, welcher unter einem Benutzer läuft, welcher remote auf den Zielcomputern Task erstellen darf und lässt das Script zum Erstellen der Task (mit dem kaschierten Passwort) lokal auf diesem dritten Rechner gespeichert, mit maximalen Schutz. Also verschlüsseln was zu verschlüsseln geht, Firewall davor, Computer "einbetonieren". Hoffen.
Oder Du lässt diesen dritten Computer keine Task erstellen sondern gleich das eigentliche Script remote auf den Computern ausführen. Dann hättest Du nur einen Computer, auf welchen Du manuell einen Task erstellen müsstest, kannst dort dann aber den ausführenden Benutzer samt Passwort in der GUI angeben.
E.
nach meinem Kenntnisstand laufen Task unter SYSTEM immer mit erhöhten Rechten.
In der GPO kann ich zwar einen AD-Benutzer auswählen, jedoch ich die Verwendung eines Kennwortes nicht mehr möglich.
Ja, das ist richtig und Du hast da bei aktuellem Updatestand auch keine Change. Wenn Du da einen anderen Benutzer außer SYSTEM angibst, dann kann der Task nur laufen, wenn dieser Benutzer gerade angemeldet ist.Alternativ könntest Du per Startup- oder Loginscript einen Task anlegen lassen und könntest dort das Passwort mitgeben. Aber egal, wie Du das da kaschierst: Ein Restrisiko bleibt, dass da jemand fähig genug ist, das Passwort zu extrahieren.
Oder Du erstellt auf einem dritten Computer einen Task, welcher unter einem Benutzer läuft, welcher remote auf den Zielcomputern Task erstellen darf und lässt das Script zum Erstellen der Task (mit dem kaschierten Passwort) lokal auf diesem dritten Rechner gespeichert, mit maximalen Schutz. Also verschlüsseln was zu verschlüsseln geht, Firewall davor, Computer "einbetonieren". Hoffen.
Oder Du lässt diesen dritten Computer keine Task erstellen sondern gleich das eigentliche Script remote auf den Computern ausführen. Dann hättest Du nur einen Computer, auf welchen Du manuell einen Task erstellen müsstest, kannst dort dann aber den ausführenden Benutzer samt Passwort in der GUI angeben.
E.
Moin.
Tut das Skript was für einzelne Benutzer oder für alle? Wenn das Systemkonto genügt, dann spricht auch nichts dagegen.
System läuft immer mit erhöhten Rechten, ja.
Tut das Skript was für einzelne Benutzer oder für alle? Wenn das Systemkonto genügt, dann spricht auch nichts dagegen.
System läuft immer mit erhöhten Rechten, ja.
Vielen Dank für eure Antworten.
Der Aufwand für die Workarounds ist es m.E. nicht wert, dann lasse ich den Task doch eher als System laufen.
Es geht um die Inventarisierung der Systeme mittels der Software LOGINventory, hierfür gibt es zwei Varianten:
1. Remote WMI-Scanner -> Benutzer mit lokalen Administratorrechten auf den Systemen ist die Voraussetzung
2. Lokale Ausführung der Erfassung mit Logon-Script, geplanter Task, o.ä. -> Benutzer benötigt keine administrativen Berechtigungen
Variante 1 wird bei den Clients verwendet, für die Server würde ich gerne einen Benutzer ohne administrative Berechtigungen verwenden. Ich möchte jedoch die manuelle Konfiguration aller Server vermeiden, daher verwende ich dazu eine GPO.
Es scheint mir nun so, als wenn ich entweder eine GPO mit SYSTEM-Rechten ODER den Task manuell anlegen muss.
Der Aufwand für die Workarounds ist es m.E. nicht wert, dann lasse ich den Task doch eher als System laufen.
Es geht um die Inventarisierung der Systeme mittels der Software LOGINventory, hierfür gibt es zwei Varianten:
1. Remote WMI-Scanner -> Benutzer mit lokalen Administratorrechten auf den Systemen ist die Voraussetzung
2. Lokale Ausführung der Erfassung mit Logon-Script, geplanter Task, o.ä. -> Benutzer benötigt keine administrativen Berechtigungen
Variante 1 wird bei den Clients verwendet, für die Server würde ich gerne einen Benutzer ohne administrative Berechtigungen verwenden. Ich möchte jedoch die manuelle Konfiguration aller Server vermeiden, daher verwende ich dazu eine GPO.
Es scheint mir nun so, als wenn ich entweder eine GPO mit SYSTEM-Rechten ODER den Task manuell anlegen muss.
