È possibile eseguire un'attività pianificata come SERVIZIO DI RETE?

11

È abbastanza semplice impostare un'attività da eseguire come SISTEMA, ma quando si imposta su SERVIZIO DI RETE mostra il messaggio di errore "Accesso negato".

C'è un modo per farlo funzionare? (Il problema è che non voglio creare un nuovo utente di dominio per quell'attività e ho bisogno di accedere a una condivisione remota da questa attività.)

windows  windows-server-2003  windows-xp  scheduled-task 
Reggente
fonte

Risposte:

13

Ho fatto la stessa domanda . Fortunatamente RyanRies è stato in grado di fornire una risposta corretta .

In Windows Server 2003 non è possibile eseguire un'attività pianificata come NT AUTHORITY\NetworkService(ovvero l' account Servizio di rete ). Tale funzionalità è stata aggiunta solo con l'Utilità di pianificazione 2.0, che esiste solo in Windows Vista / Windows Server 2008.

Bonus Chatter

  • L' account LocalService è un account integrato con privilegi limitati sul computer locale e accede alla rete come anonimo . È necessario utilizzare questo account per eseguire le attività pianificate
  • L' account NetworkService è un account incorporato con privilegi limitati sul computer locale e accede alla rete come macchina (ad esVADER$.). È possibile utilizzare questo account per eseguire le attività pianificate se è necessario un accesso di rete autenticato
  • L' account LocalSystem è un account integrato con ampi privilegi sul computer locale. Nonutilizzare mai questo account per eseguire attività pianificate
Ian Boyd
fonte
6

Non puoi. La funzionalità è stata introdotta in Task Scheduler 2.0, che significa Vista / 2008 +.

Dalla documentazione per Schtasks.exe:

Nome utente / RU

Un valore che specifica il contesto utente in cui viene eseguita l'attività. Per l'account di sistema, i valori validi sono "", "NT AUTHORITY \ SYSTEM" o "SYSTEM". Per le attività di Utilità di pianificazione 2.0, "NT AUTHORITY \ LOCALSERVICE" e "NT AUTHORITY \ NETWORKSERVICE" sono anche valori validi.

http://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx :

Ryan Ries
fonte
È molto utile che il documento menzioni specificamente Task Scheduler 2.0. Elimina le congetture.
Ian Boyd,
2

Ho provato a farlo in diversi modi, ma ora non credo sia possibile. Sarei felice di stare corretto su questo, ma ho provato tutto quello che mi veniva in mente, inclusa l'aggiunta di NETWORK SERVICEa Administrators, modificando tutti i tipi di impostazioni dei Criteri di protezione locali, etc.

Quando abilito il controllo, ottengo questo:

Event Type:     Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:       680
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 Logon account:  NETWORK SERVICE
 Source Workstation: RESULTANT
 Error Code: 0xC0000064

Event Type:     Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:       529
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon Failure:
     Reason:        Unknown user name or bad password
     User Name:     NETWORK SERVICE
     Domain:        NT AUTHORITY
     Logon Type:    4
     Logon Process: Advapi  
     Authentication Package: Negotiate
     Workstation Name:       RESULTANT

0xC0000064decodifica in NO_SUCH_USER. È un po 'sciocco, considerando che ho inserito solo network service- come faceva a sapere che l'account fallito era presente NT AUTHORITY?

Quando inserisco un nome utente non valido, non vedo nemmeno il tentativo di autenticazione. Quindi chiaramente qualcosa concorda sul fatto che si NETWORK SERVICEtratta di un account reale.

Se inserisco la password per un nome utente noto (ad es. Administrator), Ottengo 0xC000006A( STATUS_WRONG_PASSWORD).

Prova ad aggiungere il Log on as a batch jobdiritto a NETWORK SERVICE. Penso che sia un'idea sciocca; dovresti solo mordere il proiettile e creare un account di dominio ...

scissione
fonte
Mi dispiace di aver sbagliato a scrivere nel mio precedente commento a Matt, ma ho provato ad aggiungerlo per "Accedi come processo batch" e senza fortuna.
Regent
0

Prova ad aggiungere il diritto "Accedi come servizio" all'account del servizio di rete. Istruzioni dettagliate qui.

opaco
fonte
No. Era già elencato in "Accesso come servizio" e anche l'aggiunta a "Accesso come servizio" non ha aiutato.
Reggente
0

Voglio solo ravvivare questo thread in quanto è possibile utilizzare il SERVIZIO DI RETE per le attività! Almeno su Server 2016 e 2019!

Solo una piccola stranezza dopo aver selezionato l'account nel solito modo. Sotto

Run whether user is logged on or not

Devi confondere selezionare: 

Do not store the password. The task will only have access to local computer resources

La seconda parte dovrebbe essere presa con una pala piena di sale! Poiché ciò che significa qui è che non si dispone di credenziali , ma se si esegue qualcosa che non necessita dell'account per disporre di credenziali, ha accesso alla rete!

Esportando un lavoro, la parte principale si presenta così

  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-20</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>

Lo uso per inviare mail di stato tramite smtp e contatta bene il server smtp

Eske Rahn
fonte
-1

Il servizio di rete è un account locale (computer). Pertanto non avrà mai diritti su un altro computer (dove risiede la condivisione).

Se si desidera accedere a una condivisione di rete, è necessario utilizzare un account noto nella rete, quindi utilizzare un account di dominio. E il servizio che si desidera eseguire DEVE supportare l'indirizzamento UNC. Se è necessario l'accesso alla lettera di unità di rete, è necessaria una sessione utente con unità mappate, altrimenti anche questo fallirà.

(Suppongo che tu lo sappia già, guardando la data del tuo post. La mia risposta è solo un extra per le persone che troveranno questo post con un problema simile)

Kees

Kees Gortmaker
fonte
2
Ogni computer unito al dominio ha il proprio account in Active Directory. E per quanto ho capito NETWORK SERVICEè un alias locale per quell'account quindi potrebbe potenzialmente avere accesso ad alcune condivisioni.
Reggente
1
NetworkService avrà diritti su un altro computer. Da MSDN : "Ha i privilegi minimi sul computer locale e funge da computer sulla rete."
Ian Boyd,
Questa risposta non è corretta Come dice anche @IanBoyd, il SERVIZIO DI RETE è specificamente progettato per accedere agli elementi della rete (ecco perché ha "Rete" nel nome, in contrasto con l'account SERVIZIO LOCALE) a cui accederà usando l'identità di dominio del computer, DOMINIO \ COMPUTERNAME $, ad es. MAIN \ WEBSRV2 $.
Nick Jones,
Inoltre, non è un account (locale o di altro tipo). È un noto responsabile della sicurezza.
Falcon Momot,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.