locked
Erreur 0x80090005 sur une GPO (Taches planifiées) RRS feed

  • Question

  • Bonjour,

      Je me permet de solliciter votre aide concernant ce soucis.

      Je suis sur un serveur 2008 R2 Standard avec un poste de travail en Windows 10 Version 1703



      J'ai créé sur mon serveur une GPO (Configuration utilisateur) qui me sert via une tache planifiée a envoyer un message "Bonjour" à l'ouverture d'une session utilisateur.

      (A la base il s'agit d'un script powershell que j'ai remplacé par un message pour ne pas complexifier la chose).

      Cette GPO est bien activée sur l'OU de l'utilisateur utilisé pour les tests.

      Quand je me log avec cet utilisateur sur le poste, le message ne s'affiche pas.

      Avec un Gpresult, la GPO est bien prise en compte mais retourne un message d'erreur dans l'observateur d’événement.



    Malgré des recherches sur internet, je n'ai rien trouvé sur cette erreur.

    Pouvez vous m'aider ?

    Merci.



    Si besoin, voici le paramétrage de la tache planifiée de la GPO:










    mardi 3 octobre 2017 07:46

Réponses

    • J'ai indiqué un compte admin du domaine.

    Oulah... Non, ne faites pas ca ! Un compte avec un si haut niveau de privilège ne dois en aucun cas être utilisé pour des tâches planifiées (vous faites le bonheur des hackeurs).  Le seul privilège requis est éventuellement que le compte soit admin local du poste.

    • j'ai sélectionné "Exécuter même si l'utilisateur n'est pas connecté"

    Pour que le message s'affiche, il faut que l'utilisateur soit connecté :). Paramètre à supprimer.

    • Je suis sur un serveur 2008 R2 Standard avec un poste de travail en Windows 10 Version 1703

    C'est la le problème : l'affichage d'un message ou l'envoie d'un mail ne sont plus possible depuis Windows 8. Certes, 2008 R2 peut toujours le faire, mais c'est la dernière génération à avoir l'option. Pour remédier à cela, utiliser plutôt un login script à l'ouverture de session. Si vous souhaitez que le message ne s'affiche que sur certaines machines, vous pouvez faire appelle au filtrage WMI, au loopback processing ou à l'option d'affichage d'un message avant loggin :

    • Proposé comme réponse Loïc Veirman mercredi 4 octobre 2017 16:12
    • Marqué comme réponse Johan TPN jeudi 5 octobre 2017 06:34
    mercredi 4 octobre 2017 07:55

Toutes les réponses

  • Je ne vois pas vos capture : pouvez-vous nous donner la configuration de la GPP pour la création de la tache et le résultat RSOP sur le poste ?
    mardi 3 octobre 2017 08:14
  • Voici la configuration pour la création de la tache:

    J'ai fais le RSOP sur le poste cible.

    J'ai ce msg d'erreur au lancement: 

    Voici le résultat mais pas de trace de mes préférences utilisateurs:

    A ta disposition.

    mardi 3 octobre 2017 09:17
  • Le RSOP indique que le compte n'a pas les privilèges admin. La tache planifiée est configurée pour s'exécuter avec les privilèges admin : a priori c'est un probleme.
    mardi 3 octobre 2017 16:02
  • Dans l'onglet général, j'indique qu'il faut faire l’exécution de la tache en utilisant le compte suivant.

    J'ai indiqué un compte admin du domaine.

    De plus, j'ai sélectionné "Exécuter même si l'utilisateur n'est pas connecté" avec renseignement du mot de passe du compte et Exécuter avec les privilèges les plus élevés pour être sur de son fonctionnement.

    J'ai mal compris quelque chose la dedans ?

    Sinon j'ai créé un nouveau compte admin du domaine que j'ai utilisé renseigné pour l’exécution de la tache.

    Je me suis connecté avec ce même compte sur le poste de travail mais toujours le même message d'erreur.

    Par contre, le RSOP n'indique plus de message d'erreur mais le contenu est le même qu'avec un compte non admin.

    mercredi 4 octobre 2017 07:07
    • J'ai indiqué un compte admin du domaine.

    Oulah... Non, ne faites pas ca ! Un compte avec un si haut niveau de privilège ne dois en aucun cas être utilisé pour des tâches planifiées (vous faites le bonheur des hackeurs).  Le seul privilège requis est éventuellement que le compte soit admin local du poste.

    • j'ai sélectionné "Exécuter même si l'utilisateur n'est pas connecté"

    Pour que le message s'affiche, il faut que l'utilisateur soit connecté :). Paramètre à supprimer.

    • Je suis sur un serveur 2008 R2 Standard avec un poste de travail en Windows 10 Version 1703

    C'est la le problème : l'affichage d'un message ou l'envoie d'un mail ne sont plus possible depuis Windows 8. Certes, 2008 R2 peut toujours le faire, mais c'est la dernière génération à avoir l'option. Pour remédier à cela, utiliser plutôt un login script à l'ouverture de session. Si vous souhaitez que le message ne s'affiche que sur certaines machines, vous pouvez faire appelle au filtrage WMI, au loopback processing ou à l'option d'affichage d'un message avant loggin :

    • Proposé comme réponse Loïc Veirman mercredi 4 octobre 2017 16:12
    • Marqué comme réponse Johan TPN jeudi 5 octobre 2017 06:34
    mercredi 4 octobre 2017 07:55
  • Merci Loïc, après différents tests, la tache planifiée redescend bien sur le poste cible.

    Comme expliqué au départ, "(A la base il s'agit d'un script powershell que j'ai remplacé par un message pour ne pas complexifier la chose)" je me suis tiré une balle dans le pied en faisant ce test.

    J'ai donc remplacé ce message "Bonjour" par mon fichier .ps1 (Script Powershell) qui m'affiche un popup pour vérifier le bon fonctionnement de la tache planifiée.

    A la première connexion avec mon profil de test, je n'ai pas eu le popup mais la tâche planifié est bien descendu sur le poste.

    A la deuxième connexion avec le même profil, j'ai bien eu le popup avec le message attendu.

    J'en ai donc conclu que:

      - Lors de ma première connexion, la tache planifié a descendu ma tache planifié via ma GPO sur le poste.

      - Lors de la deuxième connexion, il exécuté ma tache planifié qui est configuré sur un déclencheur

    Ma conclusion est elle correcte ?

    Est-il possible sans faire de double connexion, de redescendre la tache planifié sur le poste et qu'a la première connexion, la tache planifiée s’exécute ?

    mercredi 4 octobre 2017 15:32
  • conclusion correcte. Vous pouvez éviter de créer une tâche planifiée en réalisant l'action via logon script :)
    • Proposé comme réponse Loïc Veirman mercredi 4 octobre 2017 16:12
    mercredi 4 octobre 2017 16:12