Task auf DC für User ausführbar machen

[umeyer 10]

Hallo,

 

folgendes würde ich gerne realiesieren, bekomm`s aber nicht recht hin...

 

Ich habe einen geplanten Task auf einem Domaincontroller, der die Sicherung des ActiveDirectory regelt. Leider funktioniert die automatische Ausführung nicht zuverlässig - mal funktionierts, mal nicht. Deshalb ist der Task jetzt deaktiviert und wird bei Bedarf manuell ausgeführt!

Zur Zeit muß das jedoch der Administrator tun... Und genau das würde ich gerne ändern! Doch wie bekomm ich hin, daß ich quasi remote den Task mit nem normalen Bediener ausführen kann. Mit Dameware könnte ich mir die Tasks anzeigen lassen und sie auch ausführen. Zur Zeit wird hierfür aber Bediener(admininstrator) und Passwort verlangt!

 

Ich weiß, daß es z.B. die Möglichkeit gibt durch ne Berechtigungsänderung in der Registry des DC für normale Bediener den Zugriff auf die Ereignissprotokolle zu erlauben.

Ist sowas eventuell auch für die Tasks möglich???

 

Danke schon mal für eure Hilfe... :jau:

[IThome 10]

Ich weiß, daß es z.B. die Möglichkeit gibt durch ne Berechtigungsänderung in der Registry des DC für normale Bediener den Zugriff auf die Ereignissprotokolle zu erlauben.

Das hatten wir gestern erst, welcher Regkey ist das ?

Hast Du den betreffenden User mal in die Gruppe der Sicherungsoperatoren gesteckt? Du musst doch schon den Benutzernamen des Administrators eingeben, wenn Du Dich via Dameware verbindest ?

[umeyer 10]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

 

Und ja, der betreffende User war auch schon Server-Operator (Testweise), weil die Standardmäßig Zugriff auf c:\windows haben und Tasks ja ein Unterordner von c:\windows ist...

Bei Dameware muß ich zur Zeit als Bediener "Administrator" angeben, dann gehts!

[IThome 10]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Bei Dameware muß ich zur Zeit als Bediener "Administrator" angeben, dann gehts!

Damit kann ich mir aber nicht via MMC die Ereignisanzeige eines Servers anzeigen lassen, wenn ich nur Benutzer bin ...

Hmm, Serveroperator wäre ja eigentlich schon zu viel des Guten, Du willst ja nur einen Sicherungstask ausführen, deswegen dachte ich an die Sicherungsoperatoren ...

edit:

Hab das mal mit einem Benutzer probiert, der in der Sicherungsoperatoren Gruppe ist. Ich habe mich zwar nicht mit Dameware, sondern mit Remote Desktop zum DC verbunden und habe einen Task erstellt und ausgeführt, das klappt wunderbar.

Ich kenne mich leider mit Dameware nicht aus :(

[umeyer 10]

Damit kann ich mir aber nicht via MMC die Ereignisanzeige eines Servers anzeigen lassen, wenn ich nur Benutzer bin ...

:(

 

Ich habe einem normalen Domänbenutzer auf den Registry-Key Lesen-Zugriff gegeben und rufe mit diesem Benutzer zunächst mal die lokale Computerverwaltung auf:

 

%windir%\system32\compmgmt.msc

 

Von dort aus verbind ich mich dann mit dem DC! Klappt prima...

[IThome 10]

Dann rufe jetzt mal bitte die Ereignisanzeige auf und klicke doppelt auf System z.B.

[umeyer 10]

Klappt bei mir.... Aber Du hast völlig recht!!!! Das klappt bei mir nur, weil ich in der Gruppe der Server-Operatoren bin - Sorry !!!

 

Aber das werden wir hier wohl in Kauf nehmen... Immer noch besser, als den Admin persönlich anzumelden :-))

 

Eine Frage hätte ich noch... Wie hast Du Dich denn per Remote Desktop mit einem normalen Bediener am DC anmelden können. Wirklich anmelden kann man sich doch nur als Domain-Admin, oder seh ich das falsch?

[blub 115]

Hi,

Es gibt einen KBArtikel mit Hotfix, der besagt, dass der orginal Taskscheduler gelegentlich buggy ist, wenn der Task unter einem Useraccount läuft.

Bin gerade am Sprung, musst selbst mal suchen

 

cu

blub

[IThome 10]

Auf einem DC muss der entsprechende Benutzer in die Gruppe "Remote Desktopbenutzer" und er muss zusätzlich das Benutzerrecht "Anmelden über Terminaldienste zulassen" besitzen, in die Gruppe der Sicherungs- oder Serveroperatoren muss er aber trotzdem (er soll auf dem DC ja auch was machen dürfen)

[lefg 276]

Hallo,

Off-Topic:

mit der nachfolgenden Batch wird ein Task erzeugt. Bei einerm Leerlauf von 60 Minuten ruft der Task eine VBS zum Ausloggen des Users auf. Das geschieht im Kontext des Systems.

schtasks /create /TN Logoff /TR "\\1fs-lubeca\netlogon\logoff.vbs" /SC BEILEERLAUF /I 60 /ru system

Mach weiteren 35 Minuten Leerlauf fährt das System den Rechner herunter.

schtasks /create /TN Shutdown /TR "\\1fs-lubeca\netlogon\shutdown.vbs" /SC BEILEERLAUF /I 35 /ru system

Natürlich ist in diesem Thread das Thema nicht das Anlegen von Task per Batch oder das Logoff oder Shutdown.

Ein Testen zeigt aber, es sind Operationen ausserhalb des Kontextes eines angemeldeten Benutzers möglich. Zumindest auf XPpro, dafür wurde es geschaffen und ausprobiert.

 

2kWS und 2kS kennen allerdings kein schtasks.

 

Gruß

 

Edgar

[jobe 10]

wenn zugriffsrechte vorhanden könnte man auch mit "wmic job" den task ausführen

[lefg 276]

wenn zugriffsrechte vorhanden könnte man auch mit "wmic job" den task ausführen

Wie macht man das?

[umeyer 10]

Also ich hab jetzt nochmal ein bißchen rumprobiert, und mit

 

schtasks /run /tn "Sicherung" /s Domaincontroller /u Domäne\User klappts prima, wenn der User Administrator ist. Mit einem normalen User bekomm ich die Meldung Zugriff verweigert!

 

Da es mir darum geht, den admin inkl. Kennwort den Usern, die diesen Task ausführen sollen nicht bekannt zu machen, will ich kein Script, oder ähnliches basteln, in dem der Administrator übergeben wird. Und Remote auf dem DC anmelden (mit welchem Bediener auch immer) sollen sie sich auch nicht. Deshalb ist der Befehl schtasks genau das was ich brauche .... Nur welche Berechtigungen muß der User haben, daß der Zugriff nicht mehr verweigert wird ???