none
GPO, Назначение заданий и проблема с сохранением учетных данных RRS feed

  • Вопрос

  • Доброго времени всем !

    Хотелось-бы услышать, кто как борется с тем "костылем" который преподнесла однажды нам МС.

    Я думаю многие в один прекрасный момент столкнулись с тем что нельзя с помощью групповой политики назначить задания в планировщике от имени другой записи или создать подключение к шаре под другой учетной записью т.к. МС попросту отключили возможность хранения паролей в Групповых политиках т.к. AES32 очень слабый метод шифрования.

    А какой-же выход ?

    Лично я пошел просто в лоб и начал тем-же планировщиком только уже на локальной системе запускать на удаленных системах с помощью psexec, ПО и сценарии.

    Все согласятся что это неправильно.

    Благо небыло у меня сложных заданий.

    На данный момент у меня появилось задание:

    1. Необходимо запускать ПО которое находится в общей папке сервера

    2. Без входа пользователя и с Наивысшими (Админскими) правами.

    3. В части крупной инфраструктуры, на ПК где учетные записи входят в Определенную группу.

    Что получается:

    1. В Групповой политике "в нынешнем виде", можно создать "от части рабочие" задание но с параметрами вошедшего  пользователя.

    От сюда два минуса; *Пользователь должен войти, *Пользователь должен быть Администратором.

    2. В Групповой политике "в нынешнем виде", можно создать "от части рабочие" задание но с параметрами пользователя "СИСТЕМА", и да можно запускать в фоне НО.

    От сюда минус; СИСТЕМА не получит доступ к папке на сервере т.к. СИСТЕМА не состоит не в одной из Групп для получения доступа к Папке на сервере.

    21 июля 2019 г. 20:25

Ответы

  • 1 "систему" можно добавить вгруппу и выдать ей права на сервере где лежит по

    2 "система" входит в группу прошедшие проверку

    3 вы можете создать задачу из командной строки с логином и паролем внутри, и этому пользюку дать права на шару (и только на нее) чтобы загрузить по локально, после чего запустить вторую задачу от имени "системы"

    4 ПО по типу SCCM решает поставленные задачи без костылей и подпорок (но стоит денег)


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа CrazYViruS333 23 июля 2019 г. 15:34
    21 июля 2019 г. 21:54
    Модератор
  • у вас есть учетка машины в оснастке ADUC, ее (учетку машины) вам и нужно добавить необходимые группы

    у вас есть домен? если есть то зачем вам локальные группы?


    The opinion expressed by me is not an official position of Microsoft

    23 июля 2019 г. 18:21
    Модератор

Все ответы

  • 1 "систему" можно добавить вгруппу и выдать ей права на сервере где лежит по

    2 "система" входит в группу прошедшие проверку

    3 вы можете создать задачу из командной строки с логином и паролем внутри, и этому пользюку дать права на шару (и только на нее) чтобы загрузить по локально, после чего запустить вторую задачу от имени "системы"

    4 ПО по типу SCCM решает поставленные задачи без костылей и подпорок (но стоит денег)


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа CrazYViruS333 23 июля 2019 г. 15:34
    21 июля 2019 г. 21:54
    Модератор
  • 1 "систему" можно добавить вгруппу и выдать ей права на сервере где лежит по

    Спасибо за ответ !

    Но как добавить средствами групповой политики "систему" в группу ?


    23 июля 2019 г. 15:34
  • 1 "систему" можно добавить вгруппу и выдать ей права на сервере где лежит по

    Спасибо за ответ !

    Но как добавить средствами групповой политики "систему" в группу ?

    Для добавления кого либо в группу придумали ADUC, в котором у вас есть группа Domain Computers, по аналогии с которой вы можете понасоздавать других групп и этим группам на файлсервере раздать права.


    The opinion expressed by me is not an official position of Microsoft

    23 июля 2019 г. 15:40
    Модератор
  • Возможно я недостаточно корректно выражаюсь под "пользователем/группой "Система"", я имею ввиду NT AUTHORITY\System, на рабочих станциях.

    Насколько я знаю с помощью ADUC ну никак нельзя добавить группы NT AUTHORITY в какие либо группы.

    И если добавить с помощью других оснасток то это будет касаться только локальной системы.

    Для работы с такими группами в GPO есть отдельный раздел "Локальные пользователи и группы" в "Параметрах панели управления", но там нет NT AUTHORITY\System.

    Перечисленные группы здесь не подходят т.к. они требуют непосредственной регистрации пользователей входящих в эти группы, тоесть пользователь входящий в эти группы должен войти в систему для того чтобы назначенное задание начало исполнятся.

    23 июля 2019 г. 16:06
  • у вас есть учетка машины в оснастке ADUC, ее (учетку машины) вам и нужно добавить необходимые группы

    у вас есть домен? если есть то зачем вам локальные группы?


    The opinion expressed by me is not an official position of Microsoft

    23 июля 2019 г. 18:21
    Модератор
  • Спасибо, добавил ПК в группу.

    23 июля 2019 г. 19:48