Jump to content

Task auf DC für User ausführbar machen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

folgendes würde ich gerne realiesieren, bekomm`s aber nicht recht hin...

 

Ich habe einen geplanten Task auf einem Domaincontroller, der die Sicherung des ActiveDirectory regelt. Leider funktioniert die automatische Ausführung nicht zuverlässig - mal funktionierts, mal nicht. Deshalb ist der Task jetzt deaktiviert und wird bei Bedarf manuell ausgeführt!

Zur Zeit muß das jedoch der Administrator tun... Und genau das würde ich gerne ändern! Doch wie bekomm ich hin, daß ich quasi remote den Task mit nem normalen Bediener ausführen kann. Mit Dameware könnte ich mir die Tasks anzeigen lassen und sie auch ausführen. Zur Zeit wird hierfür aber Bediener(admininstrator) und Passwort verlangt!

 

Ich weiß, daß es z.B. die Möglichkeit gibt durch ne Berechtigungsänderung in der Registry des DC für normale Bediener den Zugriff auf die Ereignissprotokolle zu erlauben.

Ist sowas eventuell auch für die Tasks möglich???

 

Danke schon mal für eure Hilfe... :jau:

Link to comment
Ich weiß, daß es z.B. die Möglichkeit gibt durch ne Berechtigungsänderung in der Registry des DC für normale Bediener den Zugriff auf die Ereignissprotokolle zu erlauben.

Das hatten wir gestern erst, welcher Regkey ist das ?

Hast Du den betreffenden User mal in die Gruppe der Sicherungsoperatoren gesteckt? Du musst doch schon den Benutzernamen des Administrators eingeben, wenn Du Dich via Dameware verbindest ?

Link to comment

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

 

Und ja, der betreffende User war auch schon Server-Operator (Testweise), weil die Standardmäßig Zugriff auf c:\windows haben und Tasks ja ein Unterordner von c:\windows ist...

Bei Dameware muß ich zur Zeit als Bediener "Administrator" angeben, dann gehts!

Link to comment
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Bei Dameware muß ich zur Zeit als Bediener "Administrator" angeben, dann gehts!

Damit kann ich mir aber nicht via MMC die Ereignisanzeige eines Servers anzeigen lassen, wenn ich nur Benutzer bin ...

Hmm, Serveroperator wäre ja eigentlich schon zu viel des Guten, Du willst ja nur einen Sicherungstask ausführen, deswegen dachte ich an die Sicherungsoperatoren ...

edit:

Hab das mal mit einem Benutzer probiert, der in der Sicherungsoperatoren Gruppe ist. Ich habe mich zwar nicht mit Dameware, sondern mit Remote Desktop zum DC verbunden und habe einen Task erstellt und ausgeführt, das klappt wunderbar.

Ich kenne mich leider mit Dameware nicht aus :(

Link to comment
Damit kann ich mir aber nicht via MMC die Ereignisanzeige eines Servers anzeigen lassen, wenn ich nur Benutzer bin ...

:(

 

Ich habe einem normalen Domänbenutzer auf den Registry-Key Lesen-Zugriff gegeben und rufe mit diesem Benutzer zunächst mal die lokale Computerverwaltung auf:

 

%windir%\system32\compmgmt.msc

 

Von dort aus verbind ich mich dann mit dem DC! Klappt prima...

Link to comment

Klappt bei mir.... Aber Du hast völlig recht!!!! Das klappt bei mir nur, weil ich in der Gruppe der Server-Operatoren bin - Sorry !!!

 

Aber das werden wir hier wohl in Kauf nehmen... Immer noch besser, als den Admin persönlich anzumelden :-))

 

Eine Frage hätte ich noch... Wie hast Du Dich denn per Remote Desktop mit einem normalen Bediener am DC anmelden können. Wirklich anmelden kann man sich doch nur als Domain-Admin, oder seh ich das falsch? :confused:

Link to comment

Hallo,

Off-Topic:

mit der nachfolgenden Batch wird ein Task erzeugt. Bei einerm Leerlauf von 60 Minuten ruft der Task eine VBS zum Ausloggen des Users auf. Das geschieht im Kontext des Systems.

schtasks /create /TN Logoff /TR "\\1fs-lubeca\netlogon\logoff.vbs" /SC BEILEERLAUF /I 60 /ru system

Mach weiteren 35 Minuten Leerlauf fährt das System den Rechner herunter.

schtasks /create /TN Shutdown /TR "\\1fs-lubeca\netlogon\shutdown.vbs" /SC BEILEERLAUF /I 35 /ru system

Natürlich ist in diesem Thread das Thema nicht das Anlegen von Task per Batch oder das Logoff oder Shutdown.

Ein Testen zeigt aber, es sind Operationen ausserhalb des Kontextes eines angemeldeten Benutzers möglich. Zumindest auf XPpro, dafür wurde es geschaffen und ausprobiert.

 

2kWS und 2kS kennen allerdings kein schtasks.

 

Gruß

 

Edgar

Link to comment

Also ich hab jetzt nochmal ein bißchen rumprobiert, und mit

 

schtasks /run /tn "Sicherung" /s Domaincontroller /u Domäne\User klappts prima, wenn der User Administrator ist. Mit einem normalen User bekomm ich die Meldung Zugriff verweigert!

 

Da es mir darum geht, den admin inkl. Kennwort den Usern, die diesen Task ausführen sollen nicht bekannt zu machen, will ich kein Script, oder ähnliches basteln, in dem der Administrator übergeben wird. Und Remote auf dem DC anmelden (mit welchem Bediener auch immer) sollen sie sich auch nicht. Deshalb ist der Befehl schtasks genau das was ich brauche .... Nur welche Berechtigungen muß der User haben, daß der Zugriff nicht mehr verweigert wird ???

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...