Назад | Перейти на главную страницу

Запланированная задача, развернутая через GP, которая запускает сценарий PowerShell в сетевой папке с помощью учетной записи службы AD.

Я создал сценарий PowerShell, который запускает обновления Chocolatey, а также ведет локальный журнал и общий сетевой ресурс. Сам сценарий находится в общей сетевой папке, и я надеюсь, что клиенты смогут запускать его оттуда.

Идея в том, что я развертываю запланированную задачу для запуска сценария через GPO. Я пробовал сделать это, как с политикой компьютера, так и с политикой пользователя, и определить активную учетную запись службы каталогов в графическом интерфейсе запланированной задачи GPO.

Для действий я выбрал powershell.exe -NonInteractive -WindowStyle Hidden -ExecutionPolicy bypass -file \\networkshare\scripts\script.ps1

В параметрах безопасности я определяю учетную запись службы для запуска задачи и проверяю «Запускать независимо от того, вошел ли пользователь в систему или нет» и «Запускать с наивысшими привилегиями».

Эта учетная запись службы для целей устранения неполадок является группой OUADMIN, и я подтвердил, что у этой учетной записи есть доступ к общему сетевому ресурсу.

Я применяю объект групповой политики к своей машине, проверяю журнал событий и обнаруживаю эту ошибку:

Элемент предпочтения компьютера ChocoUpdate в Chocolatey Sch Task Testing {BDF8E170-C909-4115-8909-D42792DF977A} Объект групповой политики не применялся из-за сбоя с кодом ошибки «0x80070005 Доступ запрещен». Эта ошибка была подавлена.

Что мне здесь не хватает? Есть лучший способ сделать это?

Эта ошибка указывает на проблему с разрешениями для объекта групповой политики, а не для вашего сценария. Вы можете проверить это, запланировав это вручную в планировщике задач на локальном компьютере и проверив, что он работает, затем (и / или вручную запустив задачу).

Проверьте разрешения для объекта групповой политики в разделе «Фильтрация безопасности» на вкладке «Область», а также проверьте детализированные разрешения на вкладке «Делегирование». Учетная запись компьютера, которому вы назначаете GPO, должна иметь соответствующие разрешения для чтения и запуска GPO.