Вопрос: Возможно ли, чтобы запланированная задача выполнялась как служба NETWORK SERVICE?


Очень просто настроить задачу для запуска как SYSTEM, но при установке ее в NETWORK SERVICE отображается сообщение об ошибке «Отказано в доступе».

Есть ли способ заставить это работать? (Проблема в том, что я не хочу создавать нового пользователя домена для этой задачи, и мне нужно получить доступ к удаленному ресурсу из этой задачи.)


11
2018-02-24 19:21


Источник




Ответы:


Я задал этот вопрос, К счастью, RyanRies смог обеспечить правильный ответ,

В Windows Server 2003 вы не могу выполните запланированную задачу как NT AUTHORITY\NetworkService (ака Учетная запись сетевой службы). Эта возможность была добавлена ​​только с Task Scheduler 2.0, которая существует только в Windows Vista / Windows Server 2008.

Бонусная болтовня

  • LocalService Счет это встроенная учетная запись с ограниченными правами на локальном компьютере и доступ к сети как анонимный, Вы должны использовать эту учетную запись для выполнения запланированных задач
  • NetworkService Счет это встроенная учетная запись с ограниченными правами на локальном компьютере и доступ к сети в качестве устройства (например, VADER$). Вы можете использовать эту учетную запись для запуска запланированных задач, если вам нужен аутентифицированный доступ к сети
  • LocalSystem Счет это встроенная учетная запись с обширными правами на локальном компьютере. Вам следует никогда используйте эту учетную запись для выполнения запланированных задач

12
2018-06-06 16:06





Вы не можете. Функциональность была введена в Task Scheduler 2.0, что означает Vista / 2008 +.

Из документации для Schtasks.exe:

/ RU имя пользователя

Значение, определяющее контекст пользователя, в соответствии с которым   выполнение задач. Для системной учетной записи действительными значениями являются «", "NT   AUTHORITY \ SYSTEM "или" SYSTEM ". Для задач Task Scheduler 2.0" NT   AUTHORITY \ LOCALSERVICE "и" NT AUTHORITY \ NETWORKSERVICE "также являются   допустимые значения.

http://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx:


6
2018-05-30 20:45



Очень полезно, чтобы документы конкретно укажите Task Scheduler 2.0. Это устраняет догадки. - Ian Boyd


Я попытался сделать это несколькими способами, но теперь я не думаю, что это возможно. Я был бы рад поддержать это, но я пробовал все, что мог придумать, включая добавление NETWORK SERVICE в Administrators, настройка всех параметров локальной политики безопасности и т. д.

Когда я включаю аудит, я получаю следующее:

Event Type:     Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:       680
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 Logon account:  NETWORK SERVICE
 Source Workstation: RESULTANT
 Error Code: 0xC0000064

Event Type:     Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:       529
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon Failure:
     Reason:        Unknown user name or bad password
     User Name:     NETWORK SERVICE
     Domain:        NT AUTHORITY
     Logon Type:    4
     Logon Process: Advapi  
     Authentication Package: Negotiate
     Workstation Name:       RESULTANT

0xC0000064 декодирует NO_SUCH_USER, Это немного глупо, учитывая, что я вошел только network service - как он узнал, что сбой учетной записи был NT AUTHORITY?

Когда я ввожу неверное имя пользователя, я даже не вижу попытки аутентификации. Так ясно что нибудь соглашается с тем, что NETWORK SERVICE является фактическим счетом.

Если я перепутаю пароль для известного имени пользователя (т.е. Administrator), Я получил 0xC000006A (STATUS_WRONG_PASSWORD).


Попробуйте добавить Log on as a batch job прямо к NETWORK SERVICE, Я думаю, что это глупая идея; вам нужно просто укусить пулю и создать учетную запись домена ...


2
2018-02-28 05:48



Извините, что я ошибся в своем предыдущем комментарии к Мэтту, но я попробовал добавить его для «Войти как пакетное задание» и не повезло. - Regent


Попробуйте добавить «Войти как услугу» прямо на учетную запись сетевой службы. Подробные инструкции Вот.


0
2018-02-24 19:42



Неа. Он уже был указан в разделе «Вход в систему как услуга», и добавление в «Вход в систему как услугу» тоже не помогло. - Regent


Сетевая служба - это локальная (компьютерная) учетная запись. Поэтому у него никогда не будет прав на другом компьютере (где находится доля).

Если вы хотите получить доступ к сетевому ресурсу, вы должны использовать учетную запись, известную в сети, поэтому используйте учетную запись домена. И служба, которую вы хотите запустить, ДОЛЖНА поддерживать поддержку UNC-адресации. Если ему нужен доступ к письму на сетевом диске, вам нужен сеанс пользователя с подключенными дисками, иначе это также не удастся.

(Я полагаю, вы уже знаете это, глядя на дату своего сообщения. Мой ответ - это просто дополнительная информация для людей, которые найдут этот пост с аналогичной проблемой)

Kees


-1
2018-02-14 11:50



Каждый компьютер, подключенный к домену, имеет свою собственную учетную запись в Active Directory. И насколько я понимаю NETWORK SERVICE является локальным псевдонимом для этой учетной записи, поэтому он потенциально может иметь доступ к некоторым ресурсам. - Regent
NetworkService будем имеют права на другом компьютере. Из MSDN: «Он имеет минимальные привилегии на локальном компьютере и действует как компьютер в сети». - Ian Boyd
Этот ответ неверен. Поскольку @IanBoyd также говорит, NETWORK SERVICE специально предназначена для доступа к элементам в сети (поэтому у нее есть «сеть» в названии, в отличие от учетной записи LOCAL SERVICE), к которой он будет обращаться, используя идентификатор домена компьютера, DOMAIN \ COMPUTERNAME $, например, MAIN \ WEBSRV2 $. - Nick Jones
Это также не учетная запись (локальная или другая). Это известный руководитель безопасности. - Falcon Momot