none
Domain Controller - Schedulded Task mit "normalem" User RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Ich würde gerne ein VB Script auf allen DC’s laufen lassen. Das Skript an sich macht nichts spannendes. Es prüft, ob zwei, drei Webseiten erreichbar sind und startet dann einen Dienst durch.

    Wenn ich den scheduled Task als Domain Admin laufen lasse, funktioniert alles sauber und der Dienst kann per Skript gestartet werden.

    Wenn ich dem Benutzer nun nur „logon as a batch job“ gebe und zusätzlich noch Full-Access-Rechte auf den gewünschten Dienst gebe, dann bekomme ich die Fehlermeldung: „The user account does not have permission to run this task“

    Gibt es eine Möglichkeit, dass ich einem „nicht Domain Admin“ auf einem DC die Berechtigung erteile einen Dienst zu stoppen/starten aus einem Skript heraus bzw. einen Scheduled Task zu starten!?

    Vielen Dank & Beste Grüße

    Julian.


    • Bearbeitet Julian79 Montag, 21. Januar 2013 10:54
    Montag, 21. Januar 2013 10:53
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hat der User denn die Berechtigung, Dienste zu starten? Probiere doch mal das Skript in einer normalen Eingabeaufforderung. Dann kannst den Task als Fehlerquelle schon mal ausschließen.

    Guido Over
    MCITP Server Administrator 2008
    MCITP Enterprise Administrator 2008
    MCSA Windows Server 2008
    MCSA Windows Server 2012

    Montag, 21. Januar 2013 11:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Kannst an 2 Ecken suchen:

    Entweder fehlt das Recht das der Benutzer sich lokal an dem DC anmelden kann (habs grad nicht auf deutsch hier) unter Lokaler Sicherheitsrichtlinie: Computer Configuration\ettings\Security Settings\Local Policies\User Rights Assignment

    Oder dem Nutzer fehlt das Recht sich als Dienst anzumelden, unter dem gleichen Ast wie oben.

    Montag, 21. Januar 2013 11:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    habe nun dem Benutzer nochmals das Recht gegeben, sich lokal anmelden zu dürfen. Zusätzlich verfügt der User über die Rechte "log on as a batch job" und "logon as a service". Durch die GPO habe ich weiterhin dem User FullAccess Rechte auf den benötigten Dienst gegeben (Computer Configuration / Policies / Windows Settings / Security Settings / System Services / Service Name --> Berechtigungen.

    Auf das Batchfile und den Pfad, in dem das Batchfile liegt hat der User auch Vollzugriff.

    Warte nun die Replikation ab und teste es nochmals.

    Besten Dank soweit, ich gebe heute Nachmittag Bescheid! :-)

    Grüße

    Julian.

    Montag, 21. Januar 2013 12:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    also hat leider nicht geholfen. Der User hat lokale Anmeldeberechtigungen, hat Vollzugriff auf den Dienst selbst und verfügt zusätzlich noch über die Berechtigungen "log on as a batch job" und "logon as a service". Trotzdem bekomme ich die Fehlermeldung: „The user account does not have permission to run this task“.

    Sobald ich dem User Domain Admin Rechte gebe, funktioniert das Ganze. Scheint also irgendwie mit dem Domain Controller zutun zu haben?

    Gruß

    Julian.

    Montag, 21. Januar 2013 14:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    in der Gefahr das ich jetzt etwas falsches sage. Ein User darf sich doch gar nicht an DCs anmelden und lokal kann man sich überhaupt nicht an DCs anmelden (es sei denn es sind RODCs)

    Ein User mit administrativen Rechten auf einem DC ist nach meiner Meinung nur ein Domainadministrator.

    Bitte verbessret mich wenn ich mich irre.

    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS

    Montag, 21. Januar 2013 15:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Andreas, leider müssen wir dich berichtigen. Wie einem normalen Domain User das Recht verpasst wird sich doch am DC anzumelden haben wir weiter oben beschrieben.

    @TS

    Was für eine Fehlermeldung steht dem im eventlog? Hast dich mal probiert direkt mit dem User anzumelden und den Dienst zu beenden und/ oder zu starten?

    Wo hast du das Recht zum anmelden konfiguriert? In der lokalen Sicherheitsrichtlinie oder in der Defaul Domain Controllers Richtlinie? Sicher das die GPO schon übernommen wurde?

    Montag, 21. Januar 2013 18:47
    |
  • Question
    Anmelden
    0
    Anmelden
    Du suchst an der falschen Stelle....
     
    Der User soll sich ja nicht als Task anmelden (ist nicht der Account,
    unter dem der Task läuft), sondern er soll den Task _starten_ dürfen. Oder?
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Montag, 21. Januar 2013 19:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Julian,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 23. Januar 2013 07:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jungs,

    nein,  bin leider nicht weiter gekommen. Das Problem besteht nach wie vor. Sobald ich dem User die Berechtigung gebe, sich lokal anzumelden bzw. per RDP anzumelden und mich mich dann auch mit diesem User darauf anmelde, klappt das mit dem Skript!

    Nur ohne leider nicht!

    Mir gehen gerade die Ideen aus...

    Gruß

    Julian.

    Mittwoch, 23. Januar 2013 13:46
    |