14
Windows Tasks können auf Terminalserver nicht ausgeführt werden
Policy auf Terminalserver verweigert ausführen von schtasks /run /tn Taskname
Wie schon im Vorwort beschrieben, verweigert mit eine Terminalserver Policy das ausführen von:
schtasks /run /tn Taskname /s
Fehler: Zugriff verweigert!
Ich suche seit Tagen nach dem Problem, kann einer von euch sagen was in der Angehängten Policy (gpresult /V /R /S Terminalserver2 /user st-anna\testbenutzer1) verhindern könnte das ich keinen Task auf dem Server ausführen darf?
Ich bin echt am verzweifel, da ich den Fehler nicht finde! (bzw. die Restriktion)
Vielen Dank für eure Hilfe im vorraus.
Greets Morph
http://www.file-upload.net/download-3140068/gpresult_remote.txt.txt.htm ...
Wie schon im Vorwort beschrieben, verweigert mit eine Terminalserver Policy das ausführen von:
schtasks /run /tn Taskname /s
Fehler: Zugriff verweigert!
Ich suche seit Tagen nach dem Problem, kann einer von euch sagen was in der Angehängten Policy (gpresult /V /R /S Terminalserver2 /user st-anna\testbenutzer1) verhindern könnte das ich keinen Task auf dem Server ausführen darf?
Ich bin echt am verzweifel, da ich den Fehler nicht finde! (bzw. die Restriktion)
Vielen Dank für eure Hilfe im vorraus.
Greets Morph
http://www.file-upload.net/download-3140068/gpresult_remote.txt.txt.htm ...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158899
Url: https://administrator.de/contentid/158899
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
14 Kommentare
Neuester Kommentar
Hi.
Tasks sind auch mit ACLs belegt. Prüf einfach nach, ob der Benutzer, der schtasks startet, das Recht hat, den Task auszuführen - jede Wette: nein.
Falls es ein Server der Generation 2008 oder 2008 R2 ist, muss die Kommandozeile ggf. elevated gestartet werden.
Tasks sind auch mit ACLs belegt. Prüf einfach nach, ob der Benutzer, der schtasks startet, das Recht hat, den Task auszuführen - jede Wette: nein.
Falls es ein Server der Generation 2008 oder 2008 R2 ist, muss die Kommandozeile ggf. elevated gestartet werden.
Hallo DerWoWusste,
jetzt bin ich etwas baff, ACL´s auf dem Taskplaner??
Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
Das Prinzip ist so dass ich mit dem Task eine DC Replikation anstoßen möchte, um die AD Delegation zu umgehen, habe ich einen Task erstellt, welcher mir einen "repadmin /syncall" ausführt.
Der Task läuft unter DomänenAdmin Rechten, wird aber von einem User ausgeführt, der sehr wenig rechte hat!
D.h. User mit wenig Rechten führt den Task aus und der Task wird wiederum mit Domänenadminrechten ausgeführt.
Leider weis ich nicht wo ich die ACL´s auf dem Taskeinstellen kann und wie ich per Kommandozeile eine Kommandozeile elevated starten kann? (mit den gleichen Rechten mit denen der User angemeldet ist!)
Vielen Dank für deine Hilfe!
jetzt bin ich etwas baff, ACL´s auf dem Taskplaner??
Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
Das Prinzip ist so dass ich mit dem Task eine DC Replikation anstoßen möchte, um die AD Delegation zu umgehen, habe ich einen Task erstellt, welcher mir einen "repadmin /syncall" ausführt.
Der Task läuft unter DomänenAdmin Rechten, wird aber von einem User ausgeführt, der sehr wenig rechte hat!
D.h. User mit wenig Rechten führt den Task aus und der Task wird wiederum mit Domänenadminrechten ausgeführt.
Leider weis ich nicht wo ich die ACL´s auf dem Taskeinstellen kann und wie ich per Kommandozeile eine Kommandozeile elevated starten kann? (mit den gleichen Rechten mit denen der User angemeldet ist!)
Vielen Dank für deine Hilfe!
Die Tasks sind Dateien unter c:\windows\system32\tasks.
Kommandozeile elevaten ist nur nötig, falls die Berechtigung zum ausführen auf den Task der Admingruppe gegeben wurde und der User Mitglied dieser ist. Wenn nicht, dann unnötig. Sonst: cmd.exe rechtsklicken - "ausführen als Administrator" wählen.
Kommandozeile elevaten ist nur nötig, falls die Berechtigung zum ausführen auf den Task der Admingruppe gegeben wurde und der User Mitglied dieser ist. Wenn nicht, dann unnötig. Sonst: cmd.exe rechtsklicken - "ausführen als Administrator" wählen.
Habe jetzt die Gruppen Berechtigt, in denen der user ist, sogar mit ändern Rechte, jedoch bekomme ich noch immer Zugriff verweigert.
Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine Ahnung was ich hier alles falsch mache!
Hast du noch nen Hinweis?
Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine Ahnung was ich hier alles falsch mache!
Hast du noch nen Hinweis?
Gib nochmal wieder, was icacls c:\windows\system32\tasks\taskname ausspuckt und gib auch das Server-OS an.
Erläutere auch näher:
Erläutere auch näher:
Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
Zitat von @Morpheus2100:
Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine
Ahnung was ich hier alles falsch mache!
Du darfst aber schon administrieren, diesen TS auch?Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine
Ahnung was ich hier alles falsch mache!
Ist es eigentlich ein Server 2008 (R2) oder älter?
Hast du noch nen Hinweis?
Ne, ich habe noch eine Frage:Das Prinzip ist so dass ich mit dem Task eine DC Replikation anstoßen möchte,
Warum willst du auf diesem TS die DC-Replikation anstoßen?
Es geht hier um 2008 R2 Terminalserver und DC´s.
Klar hab ich Volladminrechte, jedoch nicht die User die die Replikation anstoßen sollen!
Hintergrund, wieso das ganze: Da Passwort zurücksetzten der Helpdesk machen soll und sonst eigentlich garnichts dürfen sollte! Uns deshalb die Einschränkungen.
Greets
Morph
Klar hab ich Volladminrechte, jedoch nicht die User die die Replikation anstoßen sollen!
Hintergrund, wieso das ganze: Da Passwort zurücksetzten der Helpdesk machen soll und sonst eigentlich garnichts dürfen sollte! Uns deshalb die Einschränkungen.
Greets
Morph
Antwortest Du noch? 
Sorry hab deinen Beitrag überlesen, werde ich am Montag gleich testen und dir Feedback geben! Danke schon mal für die Hilfe!
c:\windows\system32\tasks\ReplicateAllDCs NT-AUTORITŽT\SYSTEM
M)
Domäne\AdministratorR)
Domäne\security_ad_tier_1RX)
Domäne\security_ad_tier_2M)
VORDEFINIERT\AdministratorenI)(R,W,D,WDAC,WO)
NT-AUTORITŽT\SYSTEMI)(R,W,D,WDAC,WO)
VORDEFINIERT\AdministratorenI)(F)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
OS: Server 2008 R2 GER
Antwort zu (Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
):
GPO-->Windows-Komponenten/Aufgabenplanung
Richtlinie Einstellung
Ausführen oder Beenden einer Aufgabe verhindern Deaktiviert
Erstellen von neuen Aufgaben nicht zulassen Aktiviert
Löschen von Aufgaben nicht zulassen Aktiviert
M)Domäne\Administrator
R)Domäne\security_ad_tier_1
RX)Domäne\security_ad_tier_2
M)VORDEFINIERT\Administratoren
I)(R,W,D,WDAC,WO)NT-AUTORITŽT\SYSTEM
I)(R,W,D,WDAC,WO)VORDEFINIERT\Administratoren
I)(F)1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
OS: Server 2008 R2 GER
Antwort zu (Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
):
GPO-->Windows-Komponenten/Aufgabenplanung
Richtlinie Einstellung
Ausführen oder Beenden einer Aufgabe verhindern Deaktiviert
Erstellen von neuen Aufgaben nicht zulassen Aktiviert
Löschen von Aufgaben nicht zulassen Aktiviert
Und ist nun das Konto welches Du vorsiehst, um den task zu starten darunter, oder nicht? Sieht mir nicht danach aus.
Klar der User ist in der Gruppe Security_ad_Tier_1!
Hat jemand noch ne Idee an was das liegen könnte?
Hallo Zusammen,
ist euer Problem noch aktuell ???
Hätte da ne Lösung:
Die geplanten Tasks können nur von lokalen Admins ausgeführt werden, die Freigabe kann mit graphischen Windows-Funktionen nicht geändert werden ...
Aber halt ... seit Jahren gibt es da ein Programm, dass sich erfolgreich gegen den übermächtigen ... naja, lassen wir das, nun zur Lösung.
Die gute alte Dos-Box hilft weiter. Für die geplanten Tasks kann ich die Freigabe mit dem Befehl
" cacls C:\Windows\Tasks /E /G <USERNAME>:F " bearbeiten. Bitte beachten, dass auch die Eingaben /E (Bearbeiten, anstatt ersetzen !!!) und /G (Berechtigung für entsprechenden Benutzer setzen --> :F bedeutet Vollzugriff).
Ich habe in meiner Umgebung der lokalen Gruppe "Hauptbenutzer" Vollzugriff erteilt und die entsprechenden User der lokalen Gruppe Hauptbenutzer zugeordnet.
Tipp: CACLS /? (Hilfe zum genannten Befehl)
Grüße, Poppers
ist euer Problem noch aktuell ???
Hätte da ne Lösung:
Die geplanten Tasks können nur von lokalen Admins ausgeführt werden, die Freigabe kann mit graphischen Windows-Funktionen nicht geändert werden ...
Aber halt ... seit Jahren gibt es da ein Programm, dass sich erfolgreich gegen den übermächtigen ... naja, lassen wir das, nun zur Lösung.
Die gute alte Dos-Box hilft weiter. Für die geplanten Tasks kann ich die Freigabe mit dem Befehl
" cacls C:\Windows\Tasks /E /G <USERNAME>:F " bearbeiten. Bitte beachten, dass auch die Eingaben /E (Bearbeiten, anstatt ersetzen !!!) und /G (Berechtigung für entsprechenden Benutzer setzen --> :F bedeutet Vollzugriff).
Ich habe in meiner Umgebung der lokalen Gruppe "Hauptbenutzer" Vollzugriff erteilt und die entsprechenden User der lokalen Gruppe Hauptbenutzer zugeordnet.
Tipp: CACLS /? (Hilfe zum genannten Befehl)
Grüße, Poppers
