BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/forum/faq/sysadmin/noadminrun.html

Запуск заданий из-под учётной записи, не имеющей привилегий администратора (Windows 2003 Server)
ZloyShaman
Опубликовано: dl, 16.10.06 00:28

Предположим, только что создан новый аккаунт пользователя. Для успешного запуска задания из-под этого аккаунта понадобится следующее:

1. Для доступа к Scheduled Tasks этот пользователь должен иметь права на чтение и запись %SystemRoot%\Tasks

Этого можно достичь или включив пользователя в группу Backup Operators, или отредактировав соответствующим образом ACL папки %SystemRoot%\Tasks (для этого можно воспользоваться командой cacls).

ВНИМАНИЕ: Включение пользователя в группу Backup Operators влечёт за собой получение этим пользователем привилегии Backup Files and Directories. Что фактически даёт доступ на чтение ко всем данным, находящимся на сервере.

2. Для успешной авторизации в системе в качестве задания пользователю необходима привилегия Log on as a batch job. (Добавить аккаунт в Local Security Policy\Local Policies\User Rights Assignment\Log on as a batch job).

3. Если задание должно выполняться в фоновом режиме (не интерактивно), то необходимо дать пользователю права Read и Execute на файл %SystemRoot%\system32\cmd.exe

Также надо проследить, чтобы у созданного пользователя был доступ ко всем файлам, которые он собирается читать или писать во время выполнения задания. Надо помнить, что по умолчанию у пользователя отсутствуют права на запись в любое место системного раздела, кроме его профиля (это на случай, если, например, возникло желание вести лог выполнения задания). Если предполагается запуск ntbackup, лучше сразу включить пользователя в группу Backup Operators. Если для ntbackup используются файлы .bks, они тоже должны быть доступны для пользователя.



обсудить  |  все отзывы (0)

[18630]





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach