morpheus2100
Goto Top

Windows Tasks können auf Terminalserver nicht ausgeführt werden

Policy auf Terminalserver verweigert ausführen von schtasks /run /tn Taskname

Wie schon im Vorwort beschrieben, verweigert mit eine Terminalserver Policy das ausführen von:

schtasks /run /tn Taskname /s

Fehler: Zugriff verweigert!

Ich suche seit Tagen nach dem Problem, kann einer von euch sagen was in der Angehängten Policy (gpresult /V /R /S Terminalserver2 /user st-anna\testbenutzer1) verhindern könnte das ich keinen Task auf dem Server ausführen darf?

Ich bin echt am verzweifel, da ich den Fehler nicht finde! (bzw. die Restriktion)

Vielen Dank für eure Hilfe im vorraus.

Greets Morph

http://www.file-upload.net/download-3140068/gpresult_remote.txt.txt.htm ...

Content-ID: 158899

Url: https://administrator.de/forum/windows-tasks-koennen-auf-terminalserver-nicht-ausgefuehrt-werden-158899.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

DerWoWusste
DerWoWusste 18.01.2011 um 22:36:08 Uhr
Goto Top
Hi.

Tasks sind auch mit ACLs belegt. Prüf einfach nach, ob der Benutzer, der schtasks startet, das Recht hat, den Task auszuführen - jede Wette: nein.
Falls es ein Server der Generation 2008 oder 2008 R2 ist, muss die Kommandozeile ggf. elevated gestartet werden.
Morpheus2100
Morpheus2100 19.01.2011 um 09:56:36 Uhr
Goto Top
Hallo DerWoWusste,

jetzt bin ich etwas baff, ACL´s auf dem Taskplaner??
Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!

Das Prinzip ist so dass ich mit dem Task eine DC Replikation anstoßen möchte, um die AD Delegation zu umgehen, habe ich einen Task erstellt, welcher mir einen "repadmin /syncall" ausführt.
Der Task läuft unter DomänenAdmin Rechten, wird aber von einem User ausgeführt, der sehr wenig rechte hat!

D.h. User mit wenig Rechten führt den Task aus und der Task wird wiederum mit Domänenadminrechten ausgeführt.

Leider weis ich nicht wo ich die ACL´s auf dem Taskeinstellen kann und wie ich per Kommandozeile eine Kommandozeile elevated starten kann? (mit den gleichen Rechten mit denen der User angemeldet ist!)

Vielen Dank für deine Hilfe!
DerWoWusste
DerWoWusste 19.01.2011 um 12:46:24 Uhr
Goto Top
Die Tasks sind Dateien unter c:\windows\system32\tasks.
Kommandozeile elevaten ist nur nötig, falls die Berechtigung zum ausführen auf den Task der Admingruppe gegeben wurde und der User Mitglied dieser ist. Wenn nicht, dann unnötig. Sonst: cmd.exe rechtsklicken - "ausführen als Administrator" wählen.
Morpheus2100
Morpheus2100 19.01.2011 um 15:53:10 Uhr
Goto Top
Habe jetzt die Gruppen Berechtigt, in denen der user ist, sogar mit ändern Rechte, jedoch bekomme ich noch immer Zugriff verweigert.

Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine Ahnung was ich hier alles falsch mache!

Hast du noch nen Hinweis?
DerWoWusste
DerWoWusste 19.01.2011 um 18:16:05 Uhr
Goto Top
Gib nochmal wieder, was icacls c:\windows\system32\tasks\taskname ausspuckt und gib auch das Server-OS an.
Erläutere auch näher:
Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
goscho
goscho 19.01.2011 um 18:17:01 Uhr
Goto Top
Zitat von @Morpheus2100:
Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine
Ahnung was ich hier alles falsch mache!
Du darfst aber schon administrieren, diesen TS auch?
Ist es eigentlich ein Server 2008 (R2) oder älter?
Hast du noch nen Hinweis?
Ne, ich habe noch eine Frage:
Das Prinzip ist so dass ich mit dem Task eine DC Replikation anstoßen möchte,
Warum willst du auf diesem TS die DC-Replikation anstoßen?
Morpheus2100
Morpheus2100 21.01.2011 um 15:48:38 Uhr
Goto Top
Es geht hier um 2008 R2 Terminalserver und DC´s.

Klar hab ich Volladminrechte, jedoch nicht die User die die Replikation anstoßen sollen!

Hintergrund, wieso das ganze: Da Passwort zurücksetzten der Helpdesk machen soll und sonst eigentlich garnichts dürfen sollte! Uns deshalb die Einschränkungen.

Greets
Morph
DerWoWusste
DerWoWusste 21.01.2011 um 21:04:34 Uhr
Goto Top
Antwortest Du noch? face-smile
Morpheus2100
Morpheus2100 22.01.2011 um 00:14:30 Uhr
Goto Top
Sorry hab deinen Beitrag überlesen, werde ich am Montag gleich testen und dir Feedback geben! Danke schon mal für die Hilfe!
Morpheus2100
Morpheus2100 24.01.2011 um 12:53:56 Uhr
Goto Top
c:\windows\system32\tasks\ReplicateAllDCs NT-AUTORITŽT\SYSTEMface-sadM)
Domäne\Administratorface-sadR)
Domäne\security_ad_tier_1face-sadRX)
Domäne\security_ad_tier_2face-sadM)
VORDEFINIERT\Administratorenface-sadI)(R,W,D,WDAC,WO)
NT-AUTORITŽT\SYSTEMface-sadI)(R,W,D,WDAC,WO)
VORDEFINIERT\Administratorenface-sadI)(F)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

OS: Server 2008 R2 GER

Antwort zu (Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
):
GPO-->Windows-Komponenten/Aufgabenplanung

Richtlinie Einstellung
Ausführen oder Beenden einer Aufgabe verhindern Deaktiviert
Erstellen von neuen Aufgaben nicht zulassen Aktiviert
Löschen von Aufgaben nicht zulassen Aktiviert
DerWoWusste
DerWoWusste 24.01.2011 um 17:46:07 Uhr
Goto Top
Und ist nun das Konto welches Du vorsiehst, um den task zu starten darunter, oder nicht? Sieht mir nicht danach aus.
Morpheus2100
Morpheus2100 24.01.2011 um 23:54:32 Uhr
Goto Top
Klar der User ist in der Gruppe Security_ad_Tier_1!
Morpheus2100
Morpheus2100 27.01.2011 um 16:22:44 Uhr
Goto Top
Hat jemand noch ne Idee an was das liegen könnte?
Poppers
Poppers 07.03.2012 um 13:17:19 Uhr
Goto Top
Hallo Zusammen,

ist euer Problem noch aktuell ???

Hätte da ne Lösung:
Die geplanten Tasks können nur von lokalen Admins ausgeführt werden, die Freigabe kann mit graphischen Windows-Funktionen nicht geändert werden ...
Aber halt ... seit Jahren gibt es da ein Programm, dass sich erfolgreich gegen den übermächtigen ... naja, lassen wir das, nun zur Lösung.

Die gute alte Dos-Box hilft weiter. Für die geplanten Tasks kann ich die Freigabe mit dem Befehl
" cacls C:\Windows\Tasks /E /G <USERNAME>:F " bearbeiten. Bitte beachten, dass auch die Eingaben /E (Bearbeiten, anstatt ersetzen !!!) und /G (Berechtigung für entsprechenden Benutzer setzen --> :F bedeutet Vollzugriff).

Ich habe in meiner Umgebung der lokalen Gruppe "Hauptbenutzer" Vollzugriff erteilt und die entsprechenden User der lokalen Gruppe Hauptbenutzer zugeordnet.

Tipp: CACLS /? (Hilfe zum genannten Befehl)

Grüße, Poppers