Sou um administrador corporativo (Engenheiro de rede sênior), mas minha equipe não gerencia o Active Directory, por isso não estou familiarizado com as políticas e com o que é necessário para fazer o que estou tentando alcançar, e até mesmo com os administradores do AD estão falhando comigo quando se trata da minha situação.
Eu tenho um comando que estou tentando transformar em um script que está me dando um comportamento muito estranho, e eu preciso de ajuda para resolver isso.
Primeiras coisas primeiro:
- Em minha estação de trabalho local, posso abrir uma janela de comando com a tecla Shift pressionada e executando como meu usuário administrador de domínio, e o comando funciona muito bem.
- Na estação de trabalho local, se eu colocar esse comando em um script e clicar com a tecla Shift pressionada para executar o script como meu usuário administrador de domínio, o script / comando funcionará bem (contanto que eu conceda permissões de conta de administrador do domínio).
- Na máquina de destino em que quero que esse script seja executado, confirmei que outro administrador de domínio pode executar o comando com êxito.
- Se eu iniciar um prompt de comando nesta máquina de destino quando tiver efetuado login com minha conta de administrador de domínio, o comando falhará (e também como um script).
Antes de sugerir algo que já tentei ou não me beneficia:
-
runas não é uma opção, porque esse script não deve ser interativo e solicitado por uma senha.
- O parâmetro
/savecred para run as não é uma opção por causa das políticas de senha / segurança / auditoria.
Eu consegui a funcionalidade básica, mas é confusa:
O comando básico é algo assim:
\server\share\unlock.exe . username
A única maneira de executar este comando com êxito sem clicar com a tecla Shift ou runas sem sentido é colocar esse comando em C:\Users\Username\Desktop\unlock.bat e, em seguida, em minha máquina local, criando um arquivo de lote separado que inclua o seguinte:
psexec \targetmachine -u domainadmin -p domainpassword "C:\Users\Username\Desktop\unlock.bat"
Perguntas e possíveis teorias:
- Se eu clicar duas vezes nesse arquivo em lote na máquina de destino, ele não deve ser executado como o nome de usuário da conta de administrador do domínio em que estou conectado?
- É possível que, como meu administrador de domínio é um administrador na máquina de destino, quando executo esse comando, ele está tentando executar como administrador local?
- Toda vez que eu abro um prompt de comando nesta máquina, é automaticamente um prompt Administrativo. É possível que o que eu preciso seja um prompt não elevado e, em caso afirmativo, como obtenho um quando ele inicia automaticamente um prompt do Administrador?
Outros detalhes :
- Este é um servidor de terminal que executa o Windows 2008 R2 com alguns usuários diferentes acessando-o, portanto, não quero modificar o comportamento de como o cmd.exe é iniciado a qualquer momento ou qualquer coisa.
- Sei que posso especificar um usuário se eu executar isso como uma tarefa agendada, mas, no momento, só quero executá-lo deste servidor como um script ou comando autônomo sem clicar com a tecla Shift.
Meu objetivo principal é fazer logon neste servidor e simplesmente clicar duas vezes no arquivo de lote (e também ser capaz de executar a partir de um prompt de comando), enquanto logado como minha conta de administrador de domínio, que deve ser capaz de fazer isso.