none
Запуск задачи из планировщика розданной GPP RRS feed

  • Вопрос

  • добрый день! стоит задача настроить в домене выключение компьютеров пользователей в 21.00. Для решения используется задача с PS скриптом, которая раздается через в планировщик через GPP.

    В раздаваемой задаче указан запуск powershell  с аргументом -File "\\sysvol\domain\выключение.ps1 от учётки(test123), которая является администратором домена

    политика имеет следующие конфигурацию компьютера:

    - вход в качестве пакетного задания, от которого запускается задание. Указана учётка test123

    - включено выполнение сценариев ps

    - создано задание с запуском от зарегистрированного пользователя от domain\test123 и наивысшими правами

    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -file "путь к выключение.ps1.

    В таком варианте задача прилетает на клиентские компы в  планировщик, но при запуске сообщает что пользователь domain\test123 не зарегистрирован в системе и задание не запускается.

    Если в задаче выставить запуск вне зависимости от регистрации пользователя, задача из планировщика пропадает, в журнале системы пишет Элемент предпочтения компьютер "выключениеПК" в объекте групповой политики "выключениеПК {01B0D240-ECA0-481E-9786-B2631D993EFC}" не применен по причине ошибки с кодом '0x80090005 Плохие данные.' Эта ошибка была отключена.

    Задание отрабатывает только в том  случае, если пользователь test123 залогинен в момент запуска задачи на ПК.

    Я пробовал запускать задачу от AUTHORITY\система, раздаваемая задача, создает задачу на выключение компьютера, но нет формы от скрипта.


    подскажите пожалуйста, как сделать запуск задачи вне зависимости от регистрации пользователя, чтобы задача запускалась


    1 марта 2019 г. 8:26

Ответы

  • то что вы описываете вполне нормально и ожидаемо - через политики вы не можете создать задачу или сервис и указать в ней пароль (так уже года 4 не работает) и связано это с тем что пароли храняться в политике в открытом виде и пол вашей компании может его без труда прочитать. А учитывая любовь создавать задачи/службы с правами домен админа, эта ситуация была феерична и мс эту дыру прикрыло.

    мапте задачу на пользователя а не на машину с указанием запускать задачу от вошедшего или системы


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Komarov_Aleksey 6 марта 2019 г. 6:56
    1 марта 2019 г. 9:19
    Модератор

Все ответы

  • А зачем PS ? В шедулере просто делаете, допустим как тут: Выключаем компьютеры по окончании рабочего дня

    Но он запускает от специального логина\пароля, думаю и системы достаточно будет.

    И еще у клиента скрипт может не выполниться, так выполнение скриптов может быть запрещено.




    1 марта 2019 г. 8:37
  • А зачем PS ? В шедулере просто делаете, допустим как тут:

    Но он запускает от специального логина\пароля, думаю и системы достаточно будет.

    И еще у клиента скрипт может не выполниться, так выполнение скриптов может быть запрещено.

    У пользователя выскакивает окно, в котором он может отсрочить выключение на 30 мин, на 1 час, на 4 часа. Это очень нужно, т.к. люди могут работать,  и принудительное выключение не вариант
    1 марта 2019 г. 8:51
  • то что вы описываете вполне нормально и ожидаемо - через политики вы не можете создать задачу или сервис и указать в ней пароль (так уже года 4 не работает) и связано это с тем что пароли храняться в политике в открытом виде и пол вашей компании может его без труда прочитать. А учитывая любовь создавать задачи/службы с правами домен админа, эта ситуация была феерична и мс эту дыру прикрыло.

    мапте задачу на пользователя а не на машину с указанием запускать задачу от вошедшего или системы


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Komarov_Aleksey 6 марта 2019 г. 6:56
    1 марта 2019 г. 9:19
    Модератор
  • то что вы описываете вполне нормально и ожидаемо - через политики вы не можете создать задачу или сервис и указать в ней пароль (так уже года 4 не работает) и связано это с тем что пароли храняться в политике в открытом виде и пол вашей компании может его без труда прочитать. А учитывая любовь создавать задачи/службы с правами домен админа, эта ситуация была феерична и мс эту дыру прикрыло.

    мапте задачу на пользователя а не на машину с указанием запускать задачу от вошедшего или системы


    The opinion expressed by me is not an official position of Microsoft

    Спасибо, ваше решение помогло, задание появляется, всё ок. Для удобства я решил нацелить на группу универсальная-распостранения, добавил учётки на которых должно отрабатывать, в фильтр безопасности добавил созданную группу, но задание всё равно не появляется, хотя в gpresult показывает что политика применяется

    домен/Test_GPO
    Настроенные расширения Group Policy Scheduled Tasks
    Реестр
    Инфраструктура групповой политики
    Принудительный Нет
    Отключено Нет
    Фильтры безопасности NT AUTHORITY\Прошедшие проверку
    домен\Shutdown_comp
    Редакция AD (49), SYSVOL (49)
    Фильтр WMI  

    1 марта 2019 г. 12:23