View Łukasz Herman's LinkedIn profileView my profile

statystyki www stat.pl

Blog > Komentarze do wpisu

Harmonogram zadań przez GPO - brak uprawnień

Jakiś czas temu wymyśliłem sobie, ża fajnie by było, gdyby wszystkie zaplanowane zadania, takie jak na przykład backup, konfigurowane były z jednego centralnego miejsca. Oczywiście najlepszym na to rozwiązaniem było skorzystanie z GPO, a zaplanowane zadanie uruchamiać w kontekście dedykowanego użytkownika (z rolą Backup Operator, bo chce tylko backupy robić).

Wielkie było jednak moje zdziwienie, gdy okazało się że nie mogę ręcznie uruchamiać zadań z Task Schedulera, mimo że ustawiłem możliwość uruchamiania On Demand.

Po wielu mozolnych testach, rekonfiguracji, itd. zauważyłem że tylko konto Administrator może uruchamiać ręcznie to zadanie. Inny użytkownik, nawet jeżeli byłby w grupie Enterprise Admin, za każdy razem dostaje komunikat:

"The user account does not have permission to run this task"

Trochę googlowania przyniosło efekt odnalezienie wątku na technecie z podobnym problemem. Padło tam przypuszczenie, że jest to bug w Group Policy Preferences. Faktycznie, tworząc to zadanie ręcznie z dokładnie taką samą konfiguracją (porównywałem XMLe po wyeksportowaniu zadania), zadanie utworzone lokalnie działa jak powinno, zadanie utworzone przez GPO wywala błąd o braku uprawnień.

Po dalszych wnikliwych poszukiwaniach w końcu odnalazłem rozwiązanie problemu. Zadania tworzone przez GPO różnią się jednym małym szczegółem od tych utworzonych lokalnie.

Otóż aby zaczęło to działać, ręcznie musimy dodać uprawnienie Full Control dla grupy BUILTIN\Administrators do utworzonego zadania. Zadanie tworzone lokalnie ma to domyślnie, zadanie utworzone z poziomu GPO daje uprawnienia grupie NT AUTHORITY\SYSTEM zamiast administratorom. Czy jest to bug, czy może zamierzone działania, nie mam pojęcia. Ale chyba  nie powinno to tak wyglądać.

Teraz wystarczy ręcznie nadać odpowiednie uprawnienia wykonując polecenie:

cacls %systemroot%\system32\Tasks\[NAZWA ZADANIA] /e /g BUILTIN\Administrators:F

Oczywiście skoro chce scentralizować zadanie, nie będę biegał po wszystkich serwerach, tylko skorzystam ponownie z GPO i ustawie zabezpieczenia na katalog z wszystkimi zadaniami. Wadą nadawania uprawnień przez GPO jest brak możliwości dodania uprawnienia, zawsze nadpisywane są aktualne listy ACL.

 

 

sobota, 09 lipca 2011, hermanluk

Polecane wpisy

  • Jak tuningować Win2k8

    Nie, nie napiszę jak uruchomić Aero (a da się), ale coś, co bardziej może zainteresować administratorów od strony technicznej Windows Server 2008. Czyli co jesz

  • Czy PHP może działać 10 razy szybciej na IIS7?

    Bardzo fajny filmik wisi sobie na youtube, dotyczący możliwościprzyspieszeniadziałania PHP na nowym IISie. http://youtube.com/watch?v=ZOfPo4gD2K4 Czylijak przys

  • Jak długo może potrwać usuwanie 6 GB danych w Win2k8?

    Bardzo ciekawą rzecz znalazłem w Windows Server 2008. Miałem resztki starego systemu w katalogu Windows.old (jeżeli wcześniej był na dysku system, to przy insta

  • Gdyby głupota potrafiła fruwać...

    Kilka dni temu gruchnęła wieść, że Pewne Osoby postanowiły odmalować niemal zupełnie starte przejście dla pieszych przy ul. Tuwima. Zrobiły to po partyzancku, n

  • Powołał ich Pan na słup

    I nawet jeśli mówi się, że GPO umarła, to jest to bardzo żywotny trup. A niesamowitą wartością dodaną jest to, że wystarczy jeden wpis na fejsbuku, żeby w ciągu

TrackBack
TrackBack w tym blogu jest moderowany. TrackBack URL do wpisu: