Kann eine geplante Aufgabe als NETZWERKSERVICE ausgeführt werden?

11

Es ist recht einfach, eine Aufgabe so einzurichten, dass sie als SYSTEM ausgeführt wird. Wenn Sie sie jedoch auf NETWORK SERVICE einstellen, wird die Fehlermeldung "Zugriff verweigert" angezeigt.

Gibt es eine Möglichkeit, dies zum Laufen zu bringen? (Das Problem ist, dass ich für diese Aufgabe keinen neuen Domänenbenutzer erstellen möchte und von dieser Aufgabe aus auf eine Remotefreigabe zugreifen muss.)

windows  windows-server-2003  windows-xp  scheduled-task 
Regent
quelle

Antworten:

13

Ich habe dieselbe Frage gestellt . Glücklicherweise konnte RyanRies eine korrekte Antwort geben .

In Windows Server 2003 Sie können nicht eine geplante Aufgabe als laufen NT AUTHORITY\NetworkService(auch bekannt als das Netzwerkdienstkonto ). Diese Funktion wurde nur mit Task Scheduler 2.0 hinzugefügt, der nur in Windows Vista / Windows Server 2008 vorhanden ist.

Bonus Chatter

  • LocalService Account ist ein integriertes Konto mit eingeschränkten Berechtigungen auf dem lokalen Computer und greift anonym auf das Netzwerk zu. Sie sollten dieses Konto verwenden, um Ihre geplanten Aufgaben auszuführen
  • Das NetworkService- Konto ist ein integriertes Konto mit eingeschränkten Berechtigungen auf dem lokalen Computer und greift als Computer auf das Netzwerk zu (zVADER$.B.). Mit diesem Konto können Sie Ihre geplanten Aufgaben ausführen, wenn Sie einen authentifizierten Netzwerkzugriff benötigen
  • LocalSystem Account ist ein integriertes Konto mit umfangreichen Berechtigungen auf dem lokalen Computer. Sie solltendieses Konto niemals zum Ausführen geplanter Aufgaben verwenden
Ian Boyd
quelle
6

Das kannst du nicht. Die Funktionalität wurde in Task Scheduler 2.0 eingeführt, dh Vista / 2008 +.

Aus der Dokumentation zu Schtasks.exe:

/ RU Benutzername

Ein Wert, der den Benutzerkontext angibt, unter dem die Aufgabe ausgeführt wird. Für das Systemkonto sind gültige Werte "", "NT AUTHORITY \ SYSTEM" oder "SYSTEM". Für Task Scheduler 2.0-Aufgaben sind "NT AUTHORITY \ LOCALSERVICE" und "NT AUTHORITY \ NETWORKSERVICE" ebenfalls gültige Werte.

http://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx :

Ryan Ries
quelle
Es ist sehr hilfreich, dass das Dokument Task Scheduler 2.0 ausdrücklich erwähnt. Es beseitigt das Rätselraten.
Ian Boyd
2

Ich habe es auf verschiedene Arten versucht, aber jetzt denke ich nicht, dass es möglich ist. Ich würde mich freuen , auf diese korrigiert zu stehen, aber ich versuchte alles , was ich denken konnte, einschließlich des Hinzufügens NETWORK SERVICEzu Administrators, alle Arten von lokalen Sicherheitsrichtlinien - Einstellungen zwicken, usw.

Wenn ich die Überwachung aktiviere, wird Folgendes angezeigt:

Event Type:     Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:       680
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 Logon account:  NETWORK SERVICE
 Source Workstation: RESULTANT
 Error Code: 0xC0000064

Event Type:     Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:       529
Date:           02/03/2010
Time:           8:49:53 PM
User:           NT AUTHORITY\SYSTEM
Computer:       RESULTANT
Description:
Logon Failure:
     Reason:        Unknown user name or bad password
     User Name:     NETWORK SERVICE
     Domain:        NT AUTHORITY
     Logon Type:    4
     Logon Process: Advapi  
     Authentication Package: Negotiate
     Workstation Name:       RESULTANT

0xC0000064dekodiert zu NO_SUCH_USER. Das ist ein bisschen albern, wenn man bedenkt, dass ich nur eingegeben habe network service- woher wusste es, dass das Konto, das fehlgeschlagen ist, vorhanden ist NT AUTHORITY?

Wenn ich einen ungültigen Benutzernamen eingebe, wird der Authentifizierungsversuch überhaupt nicht angezeigt. Es stimmt also eindeutig etwas überein, NETWORK SERVICEdas ein tatsächlicher Bericht ist.

Wenn ich das Passwort für einen bekannten Benutzernamen (dh Administrator) verpfusche , erhalte ich 0xC000006A( STATUS_WRONG_PASSWORD).

Versuchen Sie, das Log on as a batch jobRecht zu hinzuzufügen NETWORK SERVICE. Ich denke, es ist eine dumme Idee; Sie sollten einfach in die Kugel beißen und ein Domain-Konto erstellen ...

Fission
quelle
Es tut mir leid, dass ich in meinem vorherigen Kommentar zu Matt einen Tippfehler gemacht habe, aber ich habe versucht, ihn für "Als Batch-Job anmelden" hinzuzufügen, ohne Erfolg.
Regent
0

Fügen Sie dem Netzwerkdienstkonto das Recht "Als Dienst anmelden" hinzu. Detaillierte Anweisungen hier.

Matt
quelle
Nee. Es wurde bereits unter "Als Dienst anmelden" aufgeführt, und das Hinzufügen zu "Als Dienst anmelden" hat ebenfalls nicht geholfen.
Regent
0

Ich will nur diesen Thread wieder zu beleben , wie es IST möglich NETWORK SERVICE für Aufgaben zu nutzen! Zumindest auf Server 2016 und 2019!

Nur ein wenig seltsam, nachdem Sie das Konto wie gewohnt ausgewählt haben. Unter

Run whether user is logged on or not

Sie müssen verwirrenderweise auswählen: 

Do not store the password. The task will only have access to local computer resources

Der zweite Teil davon sollte mit einer Schaufel voller Salz genommen werden! Dies bedeutet hier, dass Sie keine Anmeldeinformationen haben. Wenn Sie jedoch etwas ausführen, für das das Konto keine Anmeldeinformationen benötigt, hat es Zugriff auf das Netzwerk!

Beim Exportieren eines Jobs sieht der Hauptteil folgendermaßen aus

  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-20</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>

Ich benutze es zum Senden von Status-Mails über SMTP und es kontaktiert den SMTP-Server ganz gut

Eske Rahn
quelle
-1

Der Netzwerkdienst ist ein lokales (Computer-) Konto. Es wird daher niemals Rechte auf einem anderen Computer haben (auf dem sich die Freigabe befindet).

Wenn Sie auf eine Netzwerkfreigabe zugreifen möchten, müssen Sie ein im Netzwerk bekanntes Konto verwenden. Verwenden Sie daher ein Domänenkonto. Und der Dienst, den Sie ausführen möchten, MUSS die UNC-Adressierung unterstützen. Wenn ein Briefzugriff auf das Netzwerklaufwerk erforderlich ist, benötigen Sie eine Benutzersitzung mit zugeordneten Laufwerken. Andernfalls schlägt dies ebenfalls fehl.

(Ich nehme an, Sie wissen das bereits, wenn Sie sich das Datum Ihres Beitrags ansehen. Meine Antwort ist nur ein Extra für Leute, die diesen Beitrag mit einem ähnlichen Problem finden.)

Kees

Kees Gortmaker
quelle
2
Jeder der Domäne angeschlossene Computer verfügt über ein eigenes Konto im Active Directory. Soweit ich NETWORK SERVICEweiß , handelt es sich um einen lokalen Alias ​​für dieses Konto, sodass möglicherweise Zugriff auf einige Freigaben möglich ist.
Regent
1
NetworkService- werden Rechte auf einem anderen Computer. Von MSDN : "Es verfügt über Mindestberechtigungen auf dem lokalen Computer und fungiert als Computer im Netzwerk."
Ian Boyd
Diese Antwort ist falsch. Wie @IanBoyd auch sagt, ist NETWORK SERVICE speziell für den Zugriff auf Elemente im Netzwerk vorgesehen (daher hat der Name im Gegensatz zum LOCAL SERVICE-Konto den Namen "Network"), auf das über die Domänenidentität des Computers, DOMAIN \ COMPUTERNAME, zugegriffen wird $, z. B. MAIN \ WEBSRV2 $.
Nick Jones
Es ist auch kein Konto (lokal oder anderweitig). Es ist ein bekanntes Sicherheitsprinzip.
Falcon Momot
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.