Назад | Перейти на главную страницу

Планировщик задач с виртуальными учетными записями, возможно?

В настоящее время я использую LOCAL SERVICE в качестве учетной записи пользователя для различных обычных задач, и мне было интересно, можно ли использовать Виртуальный счет вместо.

Планировщик задач отклоняет NT SERVICE\ стиль имен учетных записей.

Нет, ты не можешь. Учетные записи виртуальных служб предназначены для запуска служб Windows, и все. Учетная запись виртуальной службы имеет собственный идентификатор безопасности и Windows, периодически автоматически меняя пароль VSA в целях безопасности. Учетной записи могут быть назначены записи управления доступом в ACL. Однако учетная запись даже не хранится в кусте реестра SAM, поэтому вы не увидите ее в большинстве инструментов администрирования.

От Chatper 6 из Внутреннее устройство Windows, Шестое изд., Марка Руссиновича, Давида Соломона и Алекса Ионеску.

Изменить: следует также отметить, что если учетная запись виртуальной службы, на которой запущена служба Windows, пытается получить доступ к сетевому ресурсу, она делает это с помощью учетной записи компьютера, на котором она работает, например, SERVER01$@domain.com.

edit: На самом деле это зависит от того, чего вы действительно хотите достичь. Если вы хотите защитить ресурсы, доступ к которым выполняется с помощью ACL - вот способ:

Возможность в Windows 7 и Windows Server 2008 R2 применять SID к каждой запланированной задаче и использовать этот SID для применения разрешений где-либо еще в операционной системе. http://blogs.technet.com/b/craigf/archive/2011/03/15/using-delegation-in-scheduled-tasks.aspx

У запланированных задач есть определенный SID

edit: добавлен дескрипт для ссылки.

Вы не можете запустить его как виртуальный пользователь учетная запись. Но вы можете запустить его с виртуальным группа учетная запись. (Но с тех пор "группа" имеет отношение 1: 1 к задаче, фактически это пользователь).

Допустим, вы запускаете запланированную задачу как Местная служба пользователь. В токене этой группы есть ряд идентификаторов безопасности:

Местная служба:

  • Все (S-1-1-0)
  • Местный (S-1-2-0)
  • NT AUTHORITY \ Authenticated Users (S-1-5-11)
  • ВСТРОЙКА \ Пользователи (S-1-5-32-535)

Планировщик задач запускает задачи с дополнительным идентификатором безопасности, который вычисляется из имени задачи.

Вы можете вручную "хеш" имя задачи в SID, запустив:

>schtasks /showsid /TN "The quick brown fox jumped over the lazy dog"
SUCCESS: The SID "S-1-5-87-2312335432-65297056-3549082870-2589977271-250352331" for the user name "The quick brown fox jumped over the lazy dog" has been computed successfully.

Задача не обязательно должна существовать; он показывает вам SID это воля использовать, когда выполняется задача с таким именем.

  • Название задачи: The quick brown fox jumped over the lazy dog
  • Связанный SID: S-1-5-87-2312335432-65297056-3549082870-2589977271-250352331

Это означает, что при запуске запланированной задачи у нее будет новый идентификатор безопасности в токене безопасности:

Местная служба:

  • Все (S-1-1-0)
  • Местный (S-1-2-0)
  • NT AUTHORITY \ Authenticated Users (S-1-5-11)
  • ВСТРОЙКА \ Пользователи (S-1-5-32-535)
  • NT TASK \ Быстрая коричневая лисица перепрыгнула через ленивого пса (S-1-5-87-2312335432-65297056-3549082870-2589977271-250352331)

С помощью тега этого нового SID группы в токене вы можете редактировать разрешения для файлов и папок, чтобы только запланированная задача могла получить к ним доступ:

>icacls icacls yellow.png /grant "*S-1-5-87-2312335432-65297056-3549082870-2589977271-250352331:(M)"