информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / FAQ / sysadmin
FAQ
главная
операционные системы
sysadmin
программирование
теория
общие вопросы





Запуск заданий из-под учётной записи, не имеющей привилегий администратора (Windows 2003 Server)
ZloyShaman
Опубликовано: dl, 16.10.06 00:28

Предположим, только что создан новый аккаунт пользователя. Для успешного запуска задания из-под этого аккаунта понадобится следующее:

1. Для доступа к Scheduled Tasks этот пользователь должен иметь права на чтение и запись %SystemRoot%\Tasks

Этого можно достичь или включив пользователя в группу Backup Operators, или отредактировав соответствующим образом ACL папки %SystemRoot%\Tasks (для этого можно воспользоваться командой cacls).

ВНИМАНИЕ: Включение пользователя в группу Backup Operators влечёт за собой получение этим пользователем привилегии Backup Files and Directories. Что фактически даёт доступ на чтение ко всем данным, находящимся на сервере.

2. Для успешной авторизации в системе в качестве задания пользователю необходима привилегия Log on as a batch job. (Добавить аккаунт в Local Security Policy\Local Policies\User Rights Assignment\Log on as a batch job).

3. Если задание должно выполняться в фоновом режиме (не интерактивно), то необходимо дать пользователю права Read и Execute на файл %SystemRoot%\system32\cmd.exe

Также надо проследить, чтобы у созданного пользователя был доступ ко всем файлам, которые он собирается читать или писать во время выполнения задания. Надо помнить, что по умолчанию у пользователя отсутствуют права на запись в любое место системного раздела, кроме его профиля (это на случай, если, например, возникло желание вести лог выполнения задания). Если предполагается запуск ntbackup, лучше сразу включить пользователя в группу Backup Operators. Если для ntbackup используются файлы .bks, они тоже должны быть доступны для пользователя.



обсудить  |  все отзывы (0)

[18668]



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach