Apakah mungkin untuk Tugas Terjadwal untuk dijalankan sebagai LAYANAN JARINGAN?

11

Sangat mudah untuk mengatur tugas untuk dijalankan sebagai SISTEM, tetapi ketika mengaturnya ke LAYANAN JARINGAN itu menunjukkan pesan kesalahan "Akses ditolak".

Apakah ada cara untuk membuatnya bekerja? (Masalahnya adalah saya tidak ingin membuat pengguna domain baru untuk tugas itu dan saya perlu mengakses pembagian jarak jauh dari tugas ini.)

windows  windows-server-2003  windows-xp  scheduled-task 
Bupati
sumber

Jawaban:

13

Saya mengajukan pertanyaan yang sama . Untungnya RyanRies mampu memberikan jawaban yang benar .

Di Windows Server 2003 Anda tidak dapat menjalankan tugas yang dijadwalkan sebagai NT AUTHORITY\NetworkService(alias akun Layanan Jaringan ). Kemampuan itu hanya ditambahkan dengan Penjadwal Tugas 2.0, yang hanya ada di Windows Vista / Windows Server 2008.

Obrolan bonus

  • Akun LocalService adalah akun bawaan dengan hak istimewa terbatas di komputer lokal, dan mengakses jaringan sebagai anonim . Anda harus menggunakan akun ini untuk menjalankan tugas yang dijadwalkan
  • Akun NetworkService adalah akun bawaan dengan hak istimewa terbatas di komputer lokal, dan mengakses jaringan sebagai mesin (misVADER$.). Anda dapat menggunakan akun ini untuk menjalankan tugas yang dijadwalkan jika Anda membutuhkan akses jaringan yang diautentikasi
  • Akun LocalSystem adalah akun bawaan dengan hak istimewa luas di komputer lokal. Anda tidak bolehmenggunakan akun ini untuk menjalankan tugas yang dijadwalkan
Ian Boyd
sumber
6

Kamu tidak bisa Fungsionalitas diperkenalkan di Penjadwal Tugas 2.0, yang berarti Vista / 2008 +.

Dari dokumentasi untuk Schtasks.exe:

/ Nama pengguna RU

Nilai yang menentukan konteks pengguna tempat tugas dijalankan. Untuk akun sistem, nilai yang valid adalah "", "NT AUTHORITY \ SYSTEM", atau "SYSTEM". Untuk tugas Penjadwal Tugas 2.0, "NT AUTHORITY \ LOCALSERVICE", dan "NT AUTHORITY \ NETWORKSERVICE" juga merupakan nilai yang valid.

http://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx :

Ryan Ries
sumber
Sangat membantu bahwa dokter secara khusus menyebutkan Penjadwal Tugas 2.0. Ini menghilangkan dugaan.
Ian Boyd
2

Saya mencoba melakukan beberapa cara ini, tetapi sekarang saya tidak berpikir itu mungkin. Aku akan senang untuk berdiri dikoreksi ini, tapi saya mencoba semua yang saya bisa memikirkan, termasuk menambahkan NETWORK SERVICEuntuk Administrators, tweaker segala macam pengaturan Local Security Policy, dll

Ketika saya mengaktifkan audit, saya mendapatkan ini:

Event Type:     Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:       680
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 Logon account:  NETWORK SERVICE
 Source Workstation: RESULTANT
 Error Code: 0xC0000064

Event Type:     Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:       529
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon Failure:
     Reason:        Unknown user name or bad password
     User Name:     NETWORK SERVICE
     Domain:        NT AUTHORITY
     Logon Type:    4
     Logon Process: Advapi  
     Authentication Package: Negotiate
     Workstation Name:       RESULTANT

0xC0000064menerjemahkan ke NO_SUCH_USER. Itu agak konyol, mengingat saya hanya masuk network service- bagaimana ia tahu bahwa akun yang gagal ada NT AUTHORITY?

Ketika saya memasukkan nama pengguna yang tidak valid, saya bahkan tidak melihat upaya otentikasi sama sekali. Jadi jelas ada sesuatu yang setuju bahwa itu NETWORK SERVICEadalah akun aktual.

Jika saya merusak kata sandi untuk nama pengguna yang dikenal (yaitu Administrator), saya mendapatkan 0xC000006A( STATUS_WRONG_PASSWORD).

Coba tambahkan Log on as a batch jobhak untuk NETWORK SERVICE. Saya pikir itu ide yang konyol; Anda cukup menggigit peluru dan membuat akun domain ...

pembelahan
sumber
Maaf saya salah ketik dalam komentar saya sebelumnya ke Matt, tetapi saya mencoba menambahkannya untuk "Masuk sebagai pekerjaan batch" dan tanpa hasil.
Bupati
0

Coba tambahkan hak "Masuk sebagai layanan" ke akun layanan jaringan. Instruksi lengkap di sini.

Mat
sumber
Nggak. Itu sudah terdaftar di "Masuk sebagai layanan", dan menambahkan ke "Masuk sebagai layanan" tidak membantu juga.
Bupati
0

Hanya ingin menghidupkan kembali thread ini karena IS mungkin untuk menggunakan NETWORK SERVICE untuk tugas-tugas! Paling tidak pada Server 2016 dan 2019!

Hanya sedikit keanehan setelah memilih akun dengan cara biasa. Dibawah

Run whether user is logged on or not

Anda bingung harus memilih: 

Do not store the password. The task will only have access to local computer resources

Bagian kedua dari itu harus diambil dengan sekop penuh garam! Seperti yang dimaksud di sini adalah Anda tidak memiliki kredensial , tetapi jika Anda menjalankan sesuatu yang tidak memerlukan akun untuk memiliki kredensial, ia TIDAK memiliki akses ke jaringan!

Mengekspor pekerjaan, bagian utama terlihat seperti ini

  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-20</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>

Saya menggunakannya untuk mengirim surat status melalui smtp, dan itu menghubungi server smtp

Eske Rahn
sumber
-1

Layanan Jaringan adalah akun lokal (komputer). Karena itu ia tidak akan pernah memiliki hak di komputer lain (di mana bagiannya berada).

Jika Anda ingin akses ke berbagi jaringan Anda harus menggunakan akun yang dikenal di jaringan, jadi gunakan akun domain. Dan layanan yang ingin Anda jalankan HARUS mendukung pengalamatan UNC. Jika memerlukan akses huruf drive jaringan, Anda perlu sesi pengguna dengan drive yang dipetakan, selain itu hal ini juga akan gagal.

(Saya kira Anda sudah tahu ini, melihat tanggal posting Anda. Jawaban saya hanya tambahan untuk orang-orang yang akan menemukan posting ini dengan masalah yang sama)

Kees

Kees Gortmaker
sumber
2
Setiap komputer yang bergabung dengan domain memiliki akunnya sendiri di Direktori Aktif. Dan sejauh yang saya mengerti NETWORK SERVICEadalah alias lokal untuk akun itu karena itu berpotensi memiliki akses ke beberapa saham.
Bupati
1
NetworkService akan memiliki hak di komputer lain. Dari MSDN : "Ia memiliki hak minimum di komputer lokal dan bertindak sebagai komputer di jaringan."
Ian Boyd
Jawaban ini salah. Seperti @IanBoyd juga mengatakan, LAYANAN JARINGAN secara khusus dimaksudkan untuk mengakses item di jaringan (itu sebabnya ia memiliki "Jaringan" dalam namanya, berbeda dengan akun LAYANAN LOKAL) yang akan diakses menggunakan identitas domain komputer, DOMAIN \ COMPUTERNAME $, mis., UTAMA \ WEBSRV2 $.
Nick Jones
Ini juga bukan akun (lokal atau lainnya). Itu prinsip keamanan terkenal.
Falcon Momot
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.