none
Scheduled Task auf Domain Controller RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen,

    ich suche nach einer Möglichkeit, ein Skript das in der "Domain Controller\Netlogon"-Freigabe liegt via GPO als scheduled Task auf die Domain Controller zu verteilen.

    Es handelt sich um ein Inventory Script von Empirum, welches Daten (installierte Software, System-Infos etc. des DC's) auf einem anderen Domain Server in einer Freigabe ablegt.

    Für "normale" Member-Server habe ich den Account "NT AUTHORITY\SYSTEM" verwendet und funktioniert perfekt. Welchen Account könnte ich für die DC's verwenden?

    Vorab vielen Dank & Grüße,

    Julian.

    Dienstag, 19. Mai 2015 08:22
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    > das ist eben mein Problem. Auf Member-Servern funktioniert "NT
    > Authority\System" wunderbar, auf DC's leider nicht!
     
    "Eigentlich" schon. Wie sieht Dein Task genau aus? Und was funktioniert
    nicht - der Netlogon-Zugriff oder das Starten des Task als SYSTEM?
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    • Als Antwort markiert Julian79 Mittwoch, 20. Mai 2015 12:33
    Mittwoch, 20. Mai 2015 10:45
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Ich habe es nochmals probiert. Jetzt geht es!

    Der Task sieht wie folgt aus:

    <?xml version="1.0" encoding="utf-8"
    ?>
    - <ScheduledTasks
    clsid    ="{CC63F200-7309-4ba0-xxxxxx}">
    - <TaskV2 clsid="{D8896631-B747-xxxxxx}" name="Inventory"
    image    ="2"
    changed    ="2015-05-19 07:26:59" uid="{xxxxxxx}" userContext="0"
    removePolicy    ="0">
    - <Properties
    action    ="U"
    name    ="Inventory" runAs="NT AUTHORITY\SYSTEM" logonType="Group">
    - <Task version="1.2">
    - <RegistrationInfo>
      <Author>Julian</Author>
      <Description />
      </RegistrationInfo>
    - <Principals>
    - <Principal id="Author">
      <RunLevel>LeastPrivilege</RunLevel>
      <GroupId>NT AUTHORITY\SYSTEM</GroupId>
      </Principal>
      </Principals>
    - <Settings>
    - <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
      </IdleSettings>
      <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
      <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
      <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
      <AllowHardTerminate>true</AllowHardTerminate>
      <AllowStartOnDemand>true</AllowStartOnDemand>
      <Enabled>true</Enabled>
      <Hidden>false</Hidden>
      <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
      <Priority>7</Priority>
      </Settings>
    - <Triggers>
    - <CalendarTrigger>
      <StartBoundary>2015-05-11T12:00:00</StartBoundary>
      <Enabled>true</Enabled>
    - <ScheduleByDay>
      <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
      </CalendarTrigger>
      </Triggers>
    - <Actions>
    - <Exec>
      <Command>\\Domain\netlogon\script.bat</Command>
      </Exec>
      </Actions>
      </Task>
      </Properties>
      </TaskV2>

     </ScheduledTasks>

    Genaue Infos findest du hier: https://maddog2050.wordpress.com/2014/09/11/gpo-issue-deploying-a-scheduled-task-running-as-system/

    Wichtig ist noch, dass man für NT Authority\System --> GroupId setzt und nicht UserId, sonst geht es nicht.

    Zusätzlich noch wie in der Anleitung beschrieben den Eintrag <LogonType>InteractiveToken</LogonType> entfernt, und auf der Freigabe dem NT Authority\System modify rechte gegeben. Schon klappt es! :-)

    Danke & Grüße,

    Julian.


    • Bearbeitet Julian79 Mittwoch, 20. Mai 2015 12:32
    • Als Antwort markiert Julian79 Mittwoch, 20. Mai 2015 12:33
    Mittwoch, 20. Mai 2015 12:31
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 19.05.2015 schrieb Julian79:

    Für "normale" Member-Server habe ich den Account "NT AUTHORITY\SYSTEM" verwendet und funktioniert perfekt. Welchen Account könnte ich für die DC's verwenden?

    Und was spricht gegen SYSTEM? Funktioniert es nicht oder weshalb die
    Frage?

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 19. Mai 2015 16:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    das ist eben mein Problem. Auf Member-Servern funktioniert "NT Authority\System" wunderbar, auf DC's leider nicht!

    Grüße,

    Julian.

    Mittwoch, 20. Mai 2015 09:29
    |
  • Question
    Anmelden
    0
    Anmelden
    > das ist eben mein Problem. Auf Member-Servern funktioniert "NT
    > Authority\System" wunderbar, auf DC's leider nicht!
     
    "Eigentlich" schon. Wie sieht Dein Task genau aus? Und was funktioniert
    nicht - der Netlogon-Zugriff oder das Starten des Task als SYSTEM?
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    • Als Antwort markiert Julian79 Mittwoch, 20. Mai 2015 12:33
    Mittwoch, 20. Mai 2015 10:45
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Ich habe es nochmals probiert. Jetzt geht es!

    Der Task sieht wie folgt aus:

    <?xml version="1.0" encoding="utf-8"
    ?>
    - <ScheduledTasks
    clsid    ="{CC63F200-7309-4ba0-xxxxxx}">
    - <TaskV2 clsid="{D8896631-B747-xxxxxx}" name="Inventory"
    image    ="2"
    changed    ="2015-05-19 07:26:59" uid="{xxxxxxx}" userContext="0"
    removePolicy    ="0">
    - <Properties
    action    ="U"
    name    ="Inventory" runAs="NT AUTHORITY\SYSTEM" logonType="Group">
    - <Task version="1.2">
    - <RegistrationInfo>
      <Author>Julian</Author>
      <Description />
      </RegistrationInfo>
    - <Principals>
    - <Principal id="Author">
      <RunLevel>LeastPrivilege</RunLevel>
      <GroupId>NT AUTHORITY\SYSTEM</GroupId>
      </Principal>
      </Principals>
    - <Settings>
    - <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
      </IdleSettings>
      <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
      <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
      <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
      <AllowHardTerminate>true</AllowHardTerminate>
      <AllowStartOnDemand>true</AllowStartOnDemand>
      <Enabled>true</Enabled>
      <Hidden>false</Hidden>
      <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
      <Priority>7</Priority>
      </Settings>
    - <Triggers>
    - <CalendarTrigger>
      <StartBoundary>2015-05-11T12:00:00</StartBoundary>
      <Enabled>true</Enabled>
    - <ScheduleByDay>
      <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
      </CalendarTrigger>
      </Triggers>
    - <Actions>
    - <Exec>
      <Command>\\Domain\netlogon\script.bat</Command>
      </Exec>
      </Actions>
      </Task>
      </Properties>
      </TaskV2>

     </ScheduledTasks>

    Genaue Infos findest du hier: https://maddog2050.wordpress.com/2014/09/11/gpo-issue-deploying-a-scheduled-task-running-as-system/

    Wichtig ist noch, dass man für NT Authority\System --> GroupId setzt und nicht UserId, sonst geht es nicht.

    Zusätzlich noch wie in der Anleitung beschrieben den Eintrag <LogonType>InteractiveToken</LogonType> entfernt, und auf der Freigabe dem NT Authority\System modify rechte gegeben. Schon klappt es! :-)

    Danke & Grüße,

    Julian.


    • Bearbeitet Julian79 Mittwoch, 20. Mai 2015 12:32
    • Als Antwort markiert Julian79 Mittwoch, 20. Mai 2015 12:33
    Mittwoch, 20. Mai 2015 12:31
    |