Como posso executar um processo como “NT Authority \ NetworkService”?

4

Estou brincando com uma ideia de um script que atualizaria os detalhes de um computador no Active Directory com suas informações de marca e modelo. Idealmente, gostaria que esse script acessasse o AD por meio de sua conta de computador, o que significa que eu precisaria que o script fosse executado como "NT Authority \ NetworkService". Isso é algo que é possível? Alternativamente, eu poderia representar o NetworkService no script / executável?

    
por bshacklett 17.01.2011 / 19:16

4 respostas

6

Você pode usar o devxexec: link

Por exemplo:

devxexec.exe / user: NETWORK_SERVICE cmd

    
por 03.10.2011 / 16:58
2

"O criador de scripts" já respondeu a essa pergunta aqui: link

Você só precisa incluir a chamada WMI para pegar o número do modelo da máquina ...

Minha implementação foi assim:

Set objSysInfo  = CreateObject("ADSystemInfo")
Set objUser     = GetObject("LDAP://" & objSysInfo.UserName)
Set objComputer = GetObject("LDAP://" & objSysInfo.ComputerName) 

If objComputer.operatingSystem = "Windows*Server*" Then
    Quit
Else
    strMessage = objUser.CN & " logged on to " & objComputer.CN & " " & Day(Date) & "/" & Month(Date) & "/" & Year(Date) & " " & Time & "." 

    objComputer.Description = strMessage
    objComputer.SetInfo 
End If

Chame o script acima de um GPO usando: Configuração do usuário - > Configurações do Windows - > Scripts - > Logon

Em seguida, basta atualizar as permissões na UO, para que os usuários possam modificar as descrições do objeto do computador, assim:

    
por 04.10.2011 / 00:31
0

Não sei ao certo como é possível fazer o que você quer. É melhor perguntar sobre escalonamento de permissões no StackOverflow. No entanto, o que não executar o script como o administrador local. Com exceção dos DCs, a conta existe. Nos \ DC's você pode executá-lo como administrador de domínio ou alguma outra conta que tenha permissões limitadas para essa tarefa.

    
por 17.01.2011 / 19:28
0

Se os computadores já existirem no AD, eu abordaria esse problema da outra direção - no lado do servidor, irreparo pelos objetos do computador e usar o PsExec para encontrar as informações necessárias no sistema remoto e retorná-las.

link

Em seguida, eu executaria o script na conta com as permissões necessárias usando o Agendador de Tarefas.

link

    
por 17.01.2011 / 19:40