Jump to content
alex_kh1

Как увеличить привилегии удаленно запускаемых командников

Recommended Posts

Posted (edited)

Собственно используется задача удаленной установки для запуска скриптов на рабочих местах(cmd, vbs).

Выполнение идет вроде как из учетки с правами администратора, но в отличие от настоящего администратора не происходит запись в каталог system32 например, не создается задача планировщика. Никто не знает способа побороть данную проблему? Руками из под администратора скрипты отрабатывают нормально.

Edited by alex_kh1

Share this post


Link to post
13 минут назад, alex_kh1 сказал:

Собственно используется задача удаленной установки для запуска скриптов на рабочих местах(cmd, vbs).

Выполнение идет вроде как из учетки с правами администратора, но в отличие от настоящего администратора не происходит запись в каталог system32 например, не создается задача планировщика. Никто не знает способа побороть данную проблему? Руками из под администратора скрипты отрабатывают нормально.

Если меня не ошибает память задача удаленной установки запускает батники или скрипты от имени учётки Система, у которой вообще самые высокие привилегии, какие только могут быть.

Share this post


Link to post
5 минут назад, Zandatsu сказал:

Если меня не ошибает память задача удаленной установки запускает батники или скрипты от имени учётки Система, у которой вообще самые высокие привилегии, какие только могут быть.

Как оказалось не самые высокие.  Простой скрипт выполняет копирование только по последним двум путям запущенный в качестве задачи. Хотя запущенный вручную отрабатывает по всем четырем. Можете сами проверить.

copy user\Registry1.pol %SYSTEMROOT%\system32\GroupPolicy\user /y /b
copy user\Registry1.pol %SYSTEMROOT%\system32 /y /b
copy user\Registry1.pol %SYSTEMROOT%\1 /y /b
copy user\Registry1.pol %SYSTEMROOT% /y /b

 

Share this post


Link to post

alex_kh1 , нужно учитывать от какой учётной записи запускается задача: от системной или локальной (доменной), а также какой доступ есть у этих учётных записей на ветки реестра и системные папки, т.к. зачастую для системной учётной записи или локального (доменного) администратора по умолчанию может и не быть полных прав на эти объекты. Также нужно учитывать, что все задачи выполняются как 32-разрядные, что может вызывать определённого рода проблемы, например, такие приложения как wusa.exe и dism.exe не отработают корректно на 64-разрядной системе.

Share this post


Link to post
7 минут назад, yurasek сказал:

alex_kh1 , нужно учитывать от какой учётной записи запускается задача: от системной или локальной (доменной), а также какой доступ есть у этих учётных записей на ветки реестра и системные папки, т.к. зачастую для системной учётной записи или локального (доменного) администратора по умолчанию может и не быть полных прав на эти объекты. Также нужно учитывать, что все задачи выполняются как 32-разрядные, что может вызывать определённого рода проблемы, например, такие приложения как wusa.exe и dism.exe не отработают корректно на 64-разрядной системе.

Задача запускается агентом администрирования, никаких вариантов выбора учетных записей собственно нет. Вопрос в том и состоит, как добавить привилегий такой задаче.

Домена нет, конечная цель вопроса как раз подкладывать файл групповых политик в соответствующую директорию, что бы таким образом распространять политики без контроллера доменов.

Share this post


Link to post
4 hours ago, alex_kh1 said:

Собственно используется задача удаленной установки для запуска скриптов на рабочих местах(cmd, vbs).

Выполнение идет вроде как из учетки с правами администратора, но в отличие от настоящего администратора не происходит запись в каталог system32 например, не создается задача планировщика. Никто не знает способа побороть данную проблему? Руками из под администратора скрипты отрабатывают нормально.

Добрый день.

Как упоминает Zandatsu, задача удаленной установки через KSC запускает скопированный на целевой хост исполняемый файл с привилегиями localsystem, что позволяет устанавливать msi-пакеты (для чего непосредственно предназначена задача), но имеет свои ограничения (исполнение происходит в нулевой сессии и т.д.). Командная строка Windows может по-разному обрабатывать команды, запускаемые таким образом, и команды, запускаемые пользователем локально. Возможность повысить привилегии экземпляра такой задачи в KSC на данный момент не предусмотрена.

Существуют обходные решения (такие как вручную собрать пакет со скриптом и MS-утилитой PsExec: задачей будет запускаться утилита с необходимыми ключами для запуска уже собственно скрипта от имени нужной учетной записи). Такое решение не является безопасным (параметры командной строки, содержащие имя и пароль учетной записи, будут доступны в открытом виде в свойствах задачи) и поэтому не рекомендуется к использованию.

Спасибо.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.