Вопросы Теги

Запланированная задача Windows 10 не использует учетные данные домена для доступа к сетевым ресурсам

У меня есть простая задача, которая для целей тестирования состоит из командного файла с двумя lines: 

whoami >result1.txt
copy \\server\share\test1.txt C:\Users\xxx\Documents > output.txt 2> error.txt

Когда я запускаю это из интерактивного входа в систему, он работает нормально,потому что у меня есть учетные данные домена, которые дают мне доступ к общему ресурсу.

Когда я запускаю его из Планировщика заданий, он не работает. Первая команда выполняется успешно (и случайно демонстрирует, что запланированная задача выполняется с моей личностью), но вторая команда терпит неудачу, предположительно из-за того, что она не использует правильные учетные данные для подключения.

После выполнения задачи появляется ошибка .txt пуст, а output.txt содержит «Доступ запрещен». В истории задач нет полезной информации - просто Действие завершено и a Результат последнего запуска из (0x1) из-за сбоя копирования.

Общие параметры в свойствах запланированной задачи должны запускаться с учетной записью пользователя моего домена и «Запускать ли пользователь входит в систему или нет ". Я пробовал как с набором «Запускать с наивысшими привилегиями», так и без него - похоже, ничего не меняет. Я также попытался изменить параметр «Настроить для» - снова безрезультатно. «Не сохранять пароль» не проверяется, но я пытался проверить его только на полноту, и это не меняет поведения.

На стороне сервера я проверил журнал событий безопасности. Когда команда терпит неудачу, я вижу событие Audit Success Anonymous Logon logon, запись Audit Failure, которая выглядит так, как будто при анонимном входе пытается использовать SeBackupPrivilege: 

A privileged service was called.

Subject:
  Security ID:      ANONYMOUS LOGON
  Account Name:     ANONYMOUS LOGON
  Account Domain:       NT AUTHORITY
  Logon ID:     0x180e12c36

Service:
  Server:   Security
  Service Name: -

Process:
  Process ID:   0x4
  Process Name: 

Service Request Information:
  Privileges:       SeBackupPrivilege

, а затем сеанс Audit Success Anonymous Logon уничтожен.

Клиент является Windows 10, а сервер - Windows 2008 R2. Учетные данные - это учетная запись пользователя домена в Active Directory.

Если я использую другой сервер, ящик Windows Server 2016 с IIS и WebDAV, тогда задача отлично выполняется через планировщик задач. Итак, при использовании WebDAV мои учетные данные используются, а при использовании CIFS - нет.

Может ли кто-нибудь объяснить, почему копия не работает и есть ли какое-либо решение? Какие-нибудь дальнейшие шаги для тестирования? Я заставил его работать, жестко закодировав учетные данные в пакетном файле, но, очевидно, это неприемлемо.

Было высказано предположение, что эта политика может быть актуальной, но она отключена, поэтому я не думаю, что это так: 

Network access: Do not allow storage of passwords and credentials for network authentication

at

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
2
задан 21 April 2020 в 08:54
2 ответа

Я видел больше анекдотических свидетельств того, что разрешения в интерактивном режиме ведут себя иначе, чем в запланированной задаче. И сообщение журнала событий, кажется, указывает на то, что ему требуется seBackupPrivilige (что, вероятно, действительно означает, что он хочет изменить владельца объекта).

Помещение пользователя, под которым вы запускаете задачу, во встроенную локальную группу, такую ​​как Backup Операторы на целевом сервере могут помочь (у них нет испытательного стенда для проверки, но если вы не уверены, начните с локального администратора на обоих серверах, а затем используйте исключение).

Теоретически вы также можете использовать объект групповой политики домена для установки аналогичных разрешений для конкретного пользователя или, что еще лучше, для его группы.

ИЗМЕНИТЬ: Вы пытались пропустить или изменить вывод ошибки? Событие безопасности может быть отвлекающим маневром (например, NTLM auth всегда будет иметь неудачную анонимную запись).

Если я запустил ваш сценарий, он выйдет из строя в запланированной задаче, потому что перед> output.txt нет пути и 2> error.txt - но это работает: 

copy \\two.moh.local\test\test1.txt C:\temp\ > c:\temp\output.txt 2> c:\temp\error.txt

Ваш скрипт будет работать, если вы запустите его из командной строки или двойным щелчком, потому что он будет использовать родительский каталог, который работает иначе, когда не запущен в интерактивном режиме (я предполагаю он пытался написать где-нибудь, где у администратора домена есть разрешения, а у вашего пользователя - нет).

1
ответ дан 4 January 2021 в 08:16

Прежде всего, «Ошибка планировщика заданий 0x1» его трудно отладить, и нужно попробовать пара решений, чтобы найти причину в вашей среде.

После того, как я прочту вопрос и ответы, я предлагаю:

  1. Попытайтесь явно указать все пути, используемые в файлах сценариев или пакетов. Не используйте короткий путь. Измените путь назначения C: \ Users \ xxx \ Documents на что-то вроде D: \ test.
  2. Попробуйте указать полный путь к файлам с ошибками и выходным файлам.

Также я предлагаю проверить параметры на «вкладке действий» . Попробуйте использовать кавычки в путях с пробелами.

Вы также можете найти ценную информацию о возвращаемой ошибке 0x1 в этом источнике

-1
ответ дан 4 January 2021 в 08:16

Теги

Похожие вопросы