 |  |
https://bugtraq.ru/forum/faq/sysadmin/noadminrun.html |
|
|||
|
|
|
||
| https://bugtraq.ru/forum/faq/sysadmin/noadminrun.html |
||||
| ||||
Предположим, только что создан новый аккаунт пользователя. Для успешного запуска задания из-под этого аккаунта понадобится следующее:
1. Для доступа к Scheduled Tasks этот пользователь должен иметь права на чтение и запись %SystemRoot%\Tasks
Этого можно достичь или включив пользователя в группу Backup Operators, или отредактировав соответствующим образом ACL папки %SystemRoot%\Tasks (для этого можно воспользоваться командой cacls).
ВНИМАНИЕ: Включение пользователя в группу Backup Operators влечёт за собой получение этим пользователем привилегии Backup Files and Directories. Что фактически даёт доступ на чтение ко всем данным, находящимся на сервере.
2. Для успешной авторизации в системе в качестве задания пользователю необходима привилегия Log on as a batch job. (Добавить аккаунт в Local Security Policy\Local Policies\User Rights Assignment\Log on as a batch job).
3. Если задание должно выполняться в фоновом режиме (не интерактивно), то необходимо дать пользователю права Read и Execute на файл %SystemRoot%\system32\cmd.exe
Также надо проследить, чтобы у созданного пользователя был доступ ко всем файлам, которые он собирается читать или писать во время выполнения задания. Надо помнить, что по умолчанию у пользователя отсутствуют права на запись в любое место системного раздела, кроме его профиля (это на случай, если, например, возникло желание вести лог выполнения задания). Если предполагается запуск ntbackup, лучше сразу включить пользователя в группу Backup Operators. Если для ntbackup используются файлы .bks, они тоже должны быть доступны для пользователя.
обсудить | все отзывы (0)
[18393]
|
|
|