Некоторое время назад я разместил вопрос о разрешении конкретному пользователю запускать / останавливать службы Windows.
Предоставьте пользователю разрешения на запуск / остановку службы
Я решил вернуться к этому вопросу. Я понятия не имею, что я сделал по-другому на этот раз, но GPO наконец позволяет моему пользователю резервного копирования запускать / останавливать соответствующие службы. ПОКА я не пытаюсь запустить запланированное задание от имени этого пользователя.
У меня есть командный файл, который останавливает службу, выполняет резервное копирование / проверку данных службы и перезапускает службу. Если я открываю CMD как пользователь резервного копирования и запускаю командный файл, он работает нормально. Если я создаю запланированную задачу, устанавливаю ее для запуска в качестве пользователя резервного копирования независимо от того, вошел ли пользователь в систему, и если задача запускает один и тот же пакетный файл, она больше не сможет останавливать / запускать службу (ошибка 5, доступ запрещен ).
Я предполагаю, что это связано с тем, что пользователь не вошел в систему, поэтому объект групповой политики не применяется к его учетной записи. Если это так, как я могу заставить это работать? Я бы предпочел не запускать задачу от имени администратора.
При работе с планировщиком задач у пользователя гораздо меньше доступа к сервисам. Это потому, что доступ к Service Control Manager который обрабатывает услуги для разных Прошедшие проверку пользователи чем для Интерактивные пользователи.
Интерактивные пользователи (те, что вошли в систему) могут перечислять, запускать и останавливать службы, в то время как неинтерактивные не могут их даже перечислять.
Я написал Сообщение блога об этой теме некоторое время назад. Он пытается объяснить, что происходит, а также предоставляет сценарий для изменения разрешений.