umeyer 10 Posted October 19, 2005 Report Share Posted October 19, 2005 Hallo, folgendes würde ich gerne realiesieren, bekomm`s aber nicht recht hin... Ich habe einen geplanten Task auf einem Domaincontroller, der die Sicherung des ActiveDirectory regelt. Leider funktioniert die automatische Ausführung nicht zuverlässig - mal funktionierts, mal nicht. Deshalb ist der Task jetzt deaktiviert und wird bei Bedarf manuell ausgeführt! Zur Zeit muß das jedoch der Administrator tun... Und genau das würde ich gerne ändern! Doch wie bekomm ich hin, daß ich quasi remote den Task mit nem normalen Bediener ausführen kann. Mit Dameware könnte ich mir die Tasks anzeigen lassen und sie auch ausführen. Zur Zeit wird hierfür aber Bediener(admininstrator) und Passwort verlangt! Ich weiß, daß es z.B. die Möglichkeit gibt durch ne Berechtigungsänderung in der Registry des DC für normale Bediener den Zugriff auf die Ereignissprotokolle zu erlauben. Ist sowas eventuell auch für die Tasks möglich??? Danke schon mal für eure Hilfe... :jau: Quote Link to comment
IThome 10 Posted October 19, 2005 Report Share Posted October 19, 2005 Ich weiß, daß es z.B. die Möglichkeit gibt durch ne Berechtigungsänderung in der Registry des DC für normale Bediener den Zugriff auf die Ereignissprotokolle zu erlauben. Das hatten wir gestern erst, welcher Regkey ist das ? Hast Du den betreffenden User mal in die Gruppe der Sicherungsoperatoren gesteckt? Du musst doch schon den Benutzernamen des Administrators eingeben, wenn Du Dich via Dameware verbindest ? Quote Link to comment
umeyer 10 Posted October 19, 2005 Author Report Share Posted October 19, 2005 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg Und ja, der betreffende User war auch schon Server-Operator (Testweise), weil die Standardmäßig Zugriff auf c:\windows haben und Tasks ja ein Unterordner von c:\windows ist... Bei Dameware muß ich zur Zeit als Bediener "Administrator" angeben, dann gehts! Quote Link to comment
IThome 10 Posted October 19, 2005 Report Share Posted October 19, 2005 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winregBei Dameware muß ich zur Zeit als Bediener "Administrator" angeben, dann gehts! Damit kann ich mir aber nicht via MMC die Ereignisanzeige eines Servers anzeigen lassen, wenn ich nur Benutzer bin ... Hmm, Serveroperator wäre ja eigentlich schon zu viel des Guten, Du willst ja nur einen Sicherungstask ausführen, deswegen dachte ich an die Sicherungsoperatoren ... edit: Hab das mal mit einem Benutzer probiert, der in der Sicherungsoperatoren Gruppe ist. Ich habe mich zwar nicht mit Dameware, sondern mit Remote Desktop zum DC verbunden und habe einen Task erstellt und ausgeführt, das klappt wunderbar. Ich kenne mich leider mit Dameware nicht aus :( Quote Link to comment
umeyer 10 Posted October 19, 2005 Author Report Share Posted October 19, 2005 Damit kann ich mir aber nicht via MMC die Ereignisanzeige eines Servers anzeigen lassen, wenn ich nur Benutzer bin ... :( Ich habe einem normalen Domänbenutzer auf den Registry-Key Lesen-Zugriff gegeben und rufe mit diesem Benutzer zunächst mal die lokale Computerverwaltung auf: %windir%\system32\compmgmt.msc Von dort aus verbind ich mich dann mit dem DC! Klappt prima... Quote Link to comment
IThome 10 Posted October 19, 2005 Report Share Posted October 19, 2005 Dann rufe jetzt mal bitte die Ereignisanzeige auf und klicke doppelt auf System z.B. Quote Link to comment
umeyer 10 Posted October 19, 2005 Author Report Share Posted October 19, 2005 Klappt bei mir.... Aber Du hast völlig recht!!!! Das klappt bei mir nur, weil ich in der Gruppe der Server-Operatoren bin - Sorry !!! Aber das werden wir hier wohl in Kauf nehmen... Immer noch besser, als den Admin persönlich anzumelden :-)) Eine Frage hätte ich noch... Wie hast Du Dich denn per Remote Desktop mit einem normalen Bediener am DC anmelden können. Wirklich anmelden kann man sich doch nur als Domain-Admin, oder seh ich das falsch? Quote Link to comment
blub 115 Posted October 19, 2005 Report Share Posted October 19, 2005 Hi, Es gibt einen KBArtikel mit Hotfix, der besagt, dass der orginal Taskscheduler gelegentlich buggy ist, wenn der Task unter einem Useraccount läuft. Bin gerade am Sprung, musst selbst mal suchen cu blub Quote Link to comment
IThome 10 Posted October 19, 2005 Report Share Posted October 19, 2005 Auf einem DC muss der entsprechende Benutzer in die Gruppe "Remote Desktopbenutzer" und er muss zusätzlich das Benutzerrecht "Anmelden über Terminaldienste zulassen" besitzen, in die Gruppe der Sicherungs- oder Serveroperatoren muss er aber trotzdem (er soll auf dem DC ja auch was machen dürfen) Quote Link to comment
lefg 276 Posted October 19, 2005 Report Share Posted October 19, 2005 Hallo, Off-Topic:mit der nachfolgenden Batch wird ein Task erzeugt. Bei einerm Leerlauf von 60 Minuten ruft der Task eine VBS zum Ausloggen des Users auf. Das geschieht im Kontext des Systems. schtasks /create /TN Logoff /TR "\\1fs-lubeca\netlogon\logoff.vbs" /SC BEILEERLAUF /I 60 /ru system Mach weiteren 35 Minuten Leerlauf fährt das System den Rechner herunter. schtasks /create /TN Shutdown /TR "\\1fs-lubeca\netlogon\shutdown.vbs" /SC BEILEERLAUF /I 35 /ru system Natürlich ist in diesem Thread das Thema nicht das Anlegen von Task per Batch oder das Logoff oder Shutdown. Ein Testen zeigt aber, es sind Operationen ausserhalb des Kontextes eines angemeldeten Benutzers möglich. Zumindest auf XPpro, dafür wurde es geschaffen und ausprobiert. 2kWS und 2kS kennen allerdings kein schtasks. Gruß Edgar Quote Link to comment
jobe 10 Posted October 19, 2005 Report Share Posted October 19, 2005 wenn zugriffsrechte vorhanden könnte man auch mit "wmic job" den task ausführen Quote Link to comment
lefg 276 Posted October 19, 2005 Report Share Posted October 19, 2005 wenn zugriffsrechte vorhanden könnte man auch mit "wmic job" den task ausführen Wie macht man das? Quote Link to comment
umeyer 10 Posted October 25, 2005 Author Report Share Posted October 25, 2005 Also ich hab jetzt nochmal ein bißchen rumprobiert, und mit schtasks /run /tn "Sicherung" /s Domaincontroller /u Domäne\User klappts prima, wenn der User Administrator ist. Mit einem normalen User bekomm ich die Meldung Zugriff verweigert! Da es mir darum geht, den admin inkl. Kennwort den Usern, die diesen Task ausführen sollen nicht bekannt zu machen, will ich kein Script, oder ähnliches basteln, in dem der Administrator übergeben wird. Und Remote auf dem DC anmelden (mit welchem Bediener auch immer) sollen sie sich auch nicht. Deshalb ist der Befehl schtasks genau das was ich brauche .... Nur welche Berechtigungen muß der User haben, daß der Zugriff nicht mehr verweigert wird ??? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.