none
Повышение прав для запуска скриптов RRS feed

  • Вопрос

  • Имеется домен на Win2K8, в нем клиенты WinXP
    В домене есть политика, которая при входе пользователя запускает скрипт logon.vbs для мапинга дисков.
    Клиенты WinXP прекрасно работают.
    Ввели в домен Win7 - начались проблемы... сначала IP-фильтрация все резала - вроде поборол... теперь скрипт не отрабатывает... в логе аудита событие:

    Имя журнала:  Security
    Источник:   Microsoft-Windows-Security-Auditing
    Дата:     20.10.2010 14:28:37
    Код события:  4673
    Категория задачи:Использование прав, затрагивающее конфиденциальные данные
    Уровень:    Сведения
    Ключевые слова:Аудит отказа
    Пользователь: Н/Д
    Компьютер:   WKS-FI-002.domen.local.ru
    Описание:
    Вызвана привилегированная служба.
    
    Субъект:
      ИД безопасности:    LOCAL\myname
      Имя учетной записи:    myname
      Домен учетной записи:    LOCAL
      Код входа:    0x29107
    
    Служба:
      Сервер:  Security
      Имя службы:  -
    
    Процесс:
      Идентификатор процесса:  0xba8
      Имя процесса:  C:\Windows\System32\cscript.exe
    
    Сведения о запросе службы:
      Привилегии:    SeTcbPrivilege
    

    Как побороть? Как Вы запускаете логон-скрипты или настраиваете политики на нормальную работу?


     


    jabber: molkov@xmpp.ru
    20 октября 2010 г. 11:12

Ответы

Все ответы

  • Пользователь Windows 7 является простым пользователем или локальным администратором на компьютере?

    Попробуйте с целью тестирования добавить этому пользователю в локальных политиках безопасности привилегию Act as part of operating system.

    20 октября 2010 г. 11:33
    Модератор
  • Пока на комп захожу только я - под учеткой Администратора домена

    с указанной группой попробую побаловаться

    З.Ы.: не, данная группа - не выход из ситуации... не может же все так лихо рубить безопасность, ради запуска скрипта

    нужны другие идеи


    jabber: molkov@xmpp.ru
    20 октября 2010 г. 11:52
  • Не надо баловаться, читайте эти статьи:

    http://mcp.itcommunity.ru/blogs/osr/archive/2008/10/22/32180.aspx

    http://aho.net.ru/sysadmin/win7_diskmounts

     

    • Помечено в качестве ответа MAVr 20 октября 2010 г. 12:26
    20 октября 2010 г. 12:00
    Модератор
  • Не надо баловаться, читайте эти статьи:

    http://mcp.itcommunity.ru/blogs/osr/archive/2008/10/22/32180.aspx

    http://aho.net.ru/sysadmin/win7_diskmounts

     

    Эти статьи конечно проясняют ситуацию... но остается вопрос... зачем все делать через седалище?

    Видимо эпоха внедрения Win7 в корпоративные сети еще не пришла... подождем, чью-то маму(с)

     

    З.Ы.: проверил под обычным юзером - действительно все диски мпятся

     


    jabber: molkov@xmpp.ru
    20 октября 2010 г. 12:20
  • Обратите внимание, что для обычных пользователей все будет работать правильно, указанные проблемы будут иметь место только для локальных администраторов и только при включенном UAC. На мой взгляд, с этим можно мириться или применять какие-либо обходные пути, рассматриваемые в статьях.
    20 октября 2010 г. 12:24
    Модератор
  • Да, вы правы... отключил UAC и админ домена(в моем лице) смог обрести счастья лицезрев подключенные диски

    Как-то упустил отключение контроля при прочтении статьи... запомнилось только фраза, что отключение UAC - не выход из ситуации... вот и не стал с этим заморачиваться.

    Большое спасибо за помощь!


    jabber: molkov@xmpp.ru
    20 октября 2010 г. 13:05
  • Еще решение проблемы было найдено тут: http://www.oszone.net/7306/

    Суть:

    В [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] нужно создать параметр EnableLinkedConnections DWORD со значением 1.


    jabber: molkov@xmpp.ru
    21 октября 2010 г. 5:41