Назад | Перейти на главную страницу

Планировщик задач windows-server-2016 не сохраняет пользователя домена для правильной работы

Планировщик заданий (TS) не сохраняет информацию о домене для выполнения задачи от имени пользователя.

Шаги по воспроизведению:

В разделе «Общие» -> «Параметры безопасности» отображается, какому пользователю будет выполняться задача, с помощью кнопки «Изменить пользователя или группу» рядом с ним.

TS позволяет мне изменить пользователя на пользователя домена и показывает "DOMAIN \ USER" в поле.

Нажатие OK предлагает мне ввести пароль для «ДОМЕНА \ ПОЛЬЗОВАТЕЛЯ», что я и делаю.

Повторное открытие задачи TS показывает, что доменная часть «DOMAIN \ USER» была удалена из поля «Запуск от имени».

Когда эта задача запущена, она Не запустить как «ДОМЕН \ ПОЛЬЗОВАТЕЛЬ».

Ожидаемое поведение

TS должен запускать задачу от имени пользователя, как на сервере 2012r2.

Сведения об ОС

ОС - стандартная сборка windows server 2016 | Версия 10.0.14393 Сборка 14393 и сервер является частью домена.

РЕДАКТИРОВАТЬ: В Windows 10 похоже, что он делает то же самое, но в конечном итоге пользователь работает правильно. В экспортированной задаче XML обычно выглядел так: <UserId>DOMAIN\USER</UserId> but now it looks like this:[числа-с-множеством-обман-которые-начинаются-с-буквой]</ UserId>

РЕДАКТИРОВАТЬ-2: Похоже, что в настройках XML хранится идентификатор безопасности Windows (идентификатор безопасности).

Оказывается, это была дополнительная привилегия, которая была на новом ящике, которую нужно было отключить, и тогда планировщик задач работает нормально. "SeDelegateSessionUserImpersonatePrivilege" был виновником.

Что заставило меня поверить, что это планировщик задач, так это то, что планировщик задач изменил способ сохранения пользователя в XML и раньше сохранял его как «ДОМЕН \ ПОЛЬЗОВАТЕЛЬ», но теперь он сохраняет его как SID (идентификатор безопасности) и не отображает доменную часть в разделе «RUN AS» планировщика задач.

Когда я бежал whoami /all Я видел, что одна привилегия была на новой коробке, но не на старой.

Эта привилегия была: SeDelegateSessionUserImpersonatePrivilege = отключено

Удаление этой привилегии устраняет проблему.

Таким образом, в Windows Server 2016 std build 14393 включение или удаление привилегии SeDelegateSessionUserImpersonatePrivilege устраняет эту проблему, когда задачи не выполняются как сохраненный пользователь в планировщике задач.

РЕДАКТИРОВАТЬ: Планировщик заданий Windows Server 2016 правильно выполняет задачи, которые были настроены в первый раз без изменений, и для которых был снят флажок «Запускать с наивысшими привилегиями» и запускаться в будущем. Поэтому, если вам нужно изменить запланированные задачи, вам, вероятно, следует создать совершенно новую задачу, а затем удалить старую, а не редактировать существующую задачу.