Fragensteller
Domain Controller - Schedulded Task mit "normalem" User

Frage
-
Hallo,
Ich würde gerne ein VB Script auf allen DC’s laufen lassen. Das Skript an sich macht nichts spannendes. Es prüft, ob zwei, drei Webseiten erreichbar sind und startet dann einen Dienst durch.
Wenn ich den scheduled Task als Domain Admin laufen lasse, funktioniert alles sauber und der Dienst kann per Skript gestartet werden.
Wenn ich dem Benutzer nun nur „logon as a batch job“ gebe und zusätzlich noch Full-Access-Rechte auf den gewünschten Dienst gebe, dann bekomme ich die Fehlermeldung: „The user account does not have permission to run this task“
Gibt es eine Möglichkeit, dass ich einem „nicht Domain Admin“ auf einem DC die Berechtigung erteile einen Dienst zu stoppen/starten aus einem Skript heraus bzw. einen Scheduled Task zu starten!?
Vielen Dank & Beste Grüße
Julian.
- Bearbeitet Julian79 Montag, 21. Januar 2013 10:54
Alle Antworten
-
Hat der User denn die Berechtigung, Dienste zu starten? Probiere doch mal das Skript in einer normalen Eingabeaufforderung. Dann kannst den Task als Fehlerquelle schon mal ausschließen.
Guido Over
MCITP Server Administrator 2008
MCITP Enterprise Administrator 2008
MCSA Windows Server 2008
MCSA Windows Server 2012 -
Kannst an 2 Ecken suchen:
Entweder fehlt das Recht das der Benutzer sich lokal an dem DC anmelden kann (habs grad nicht auf deutsch hier) unter Lokaler Sicherheitsrichtlinie: Computer Configuration\ettings\Security Settings\Local Policies\User Rights Assignment
Oder dem Nutzer fehlt das Recht sich als Dienst anzumelden, unter dem gleichen Ast wie oben.
-
Hi,
habe nun dem Benutzer nochmals das Recht gegeben, sich lokal anmelden zu dürfen. Zusätzlich verfügt der User über die Rechte "log on as a batch job" und "logon as a service". Durch die GPO habe ich weiterhin dem User FullAccess Rechte auf den benötigten Dienst gegeben (Computer Configuration / Policies / Windows Settings / Security Settings / System Services / Service Name --> Berechtigungen.
Auf das Batchfile und den Pfad, in dem das Batchfile liegt hat der User auch Vollzugriff.
Warte nun die Replikation ab und teste es nochmals.
Besten Dank soweit, ich gebe heute Nachmittag Bescheid! :-)
Grüße
Julian.
-
Hi,
also hat leider nicht geholfen. Der User hat lokale Anmeldeberechtigungen, hat Vollzugriff auf den Dienst selbst und verfügt zusätzlich noch über die Berechtigungen "log on as a batch job" und "logon as a service". Trotzdem bekomme ich die Fehlermeldung: „The user account does not have permission to run this task“.
Sobald ich dem User Domain Admin Rechte gebe, funktioniert das Ganze. Scheint also irgendwie mit dem Domain Controller zutun zu haben?
Gruß
Julian.
-
Hallo,
in der Gefahr das ich jetzt etwas falsches sage. Ein User darf sich doch gar nicht an DCs anmelden und lokal kann man sich überhaupt nicht an DCs anmelden (es sei denn es sind RODCs)
Ein User mit administrativen Rechten auf einem DC ist nach meiner Meinung nur ein Domainadministrator.
Bitte verbessret mich wenn ich mich irre.
Best regards
Andreas Ernst
MCITP:EA, MCP, MCTS -
Hallo Andreas, leider müssen wir dich berichtigen. Wie einem normalen Domain User das Recht verpasst wird sich doch am DC anzumelden haben wir weiter oben beschrieben.
@TS
Was für eine Fehlermeldung steht dem im eventlog? Hast dich mal probiert direkt mit dem User anzumelden und den Dienst zu beenden und/ oder zu starten?
Wo hast du das Recht zum anmelden konfiguriert? In der lokalen Sicherheitsrichtlinie oder in der Defaul Domain Controllers Richtlinie? Sicher das die GPO schon übernommen wurde?
-
Du suchst an der falschen Stelle....Der User soll sich ja nicht als Task anmelden (ist nicht der Account,unter dem der Task läuft), sondern er soll den Task _starten_ dürfen. Oder?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating! -
Hallo Julian,
bist Du inzwischen weitergekommen?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können. -
Hallo Jungs,
nein, bin leider nicht weiter gekommen. Das Problem besteht nach wie vor. Sobald ich dem User die Berechtigung gebe, sich lokal anzumelden bzw. per RDP anzumelden und mich mich dann auch mit diesem User darauf anmelde, klappt das mit dem Skript!
Nur ohne leider nicht!
Mir gehen gerade die Ideen aus...
Gruß
Julian.