Nível mínimo de acesso necessário para a conta de serviço executar uma tarefa agendada no servidor?

Question

Nível mínimo de acesso necessário para a conta de serviço executar uma tarefa agendada no servidor?

#1 resposta do (3 votos)

1

Temos duas contas de administrador de domínio no Active Directory: "Administrador" e "Robocopy".

Robocopy é uma conta de serviço associada a uma tarefa agendada que executa um arquivo em lote - que executa o Robocopy (em nosso servidor de arquivos / controlador de domínio do SBS 2003).

A razão pela qual essa conta se tornou membro do grupo "administrador de domínio" há dois anos, quando foi criada, foi porque não consegui atribuir uma conta de administrador non -dominio em Tarefas agendadas para executar um arquivo em lotes no servidor.

Agoragostariaderestringiraconta"Robocopy" o máximo possível, incluindo negar o acesso à rede para que ela não possa ser usada para fazer logon em outra coisa que não seja o servidor.

No mínimo, estou tentando remover a conta "Robocopy" do grupo "administradores de domínio".

Qual é o método de melhores práticas para alcançar isso?

Atualização:

Algum desses grupos de segurança padrão pode ser usado para alcançar o que eu quero?

active-directory robocopy best-practices service-accounts windows-sbs-2003

por Austin ''Danger'' Powers 15.07.2013 / 15:43

1 resposta

Tags active-directory robocopy best-practices service-accounts windows-sbs-2003

systemd: parar todas as unidades desinstaladas O Broadcom Advanced Control Suite 4 em um roteador PowerConnect 2848 (ASA5505) envia erros ARP ao TEAMING (diferentes endereços MAC do mesmo IP)

score 3 · Accepted Answer

A política de segurança no GPO (Objeto de Diretiva de Grupo) dos Controladores de Domínio Padrão não permite que usuários não privilegiados efetuem logon interativamente ou como tarefas em lote (que é como as Tarefas Agendadas são executadas) em computadores Controlador de Domínio (DC). Seu primeiro problema ao tornar esta conta sem privilégios (o que é uma boa ideia) vai modificar a política de segurança.

Seu cmd.exe permissions pode precisar a ser alterado também, porque os usuários que não são administradores estão impedidos de executar scripts de maneira não interativa no Windows 2003.

Depois de cuidar disso, você também precisará resolver o problema, certificando-se de que a conta de usuário executando robocopy tenha direitos de leitura e gravação nos locais de origem e destino. Como a conta foi privilegiada no passado, você não precisava se preocupar com isso.