iT邦幫忙

0

請教利用GPO 派送工作排程 是否只能admin群能執行?

環境是 user端都沒有本機管理權限
使用domain admin 權限的帳號登入clinet端電腦, 就可以在工作排程器看到利用GPO派送的工作排程,也可以執行。

用一般user帳號登入 ,在工作排程器就看不到gpo派送的排程,把domain user群組 加入到 本機admin 群組中,
就可以看到gpo派送的工作排程
因權限問題,不會開放domain user 加入本機admin中

請問有什麻方法可以解決?不開放admin權限也能讓一般user 可以看到派送的工作排程?

延伸問題: 如果在工作排程器沒看到此排程,就代表不會執行,應該沒錯吧?
謝謝

2 個回答

0
yoloshiku
iT邦新手 5 級 ‧ 2017-01-15 05:48:21

我照著以下教學確實可以在client端的task scheduler看到排程(Scheduled Task (At Least Windows 7), 一般的scheduled task則不行),也可執行,我是以在某個時間點啟動計算機作為測試
http://www.mdmarra.com/2014/04/managing-scheduled-tasks-from-group.html
http://ithelp.ithome.com.tw/upload/images/20170115/20071153CwuoY4Wa1U.png

此外使用者的登入權限是domain users, 在local的權限則是users
測試環境:
https://vlabs.holsystems.com/vlabs/technet?eng=VLabs&auth=none&src=vlabs&altadd=true&labid=20443&lod=true

看更多先前的回應...收起先前的回應...
leekk iT邦新手 5 級 ‧ 2017-01-15 12:57:23 檢舉

您好
感謝您的測試,有兩個問題請教
1.小弟我進到您的測試環境看,在本機admin群組中有看到user跟user2的帳號,
如果本機admin群組裡把這兩個帳號拿掉,然後把clinet端派送的工作排程先移除,再讓他重新套用gpo,clinet端沒有本機admin還能看的見?
還是小弟有誤解了什麻?

2.您提到的task scheduler看到排程(Scheduled Task (At Least Windows 7), 一般的scheduled task則不行 這段話,
請教 scheduled Task (At Least Windows 7)是指在GPO設定
時的選項嗎?
您排程的執行身分也是選domain admin,不論有無登入都要執行嗎?

謝謝

yoloshiku iT邦新手 5 級 ‧ 2017-01-15 14:16:48 檢舉

抱歉我測試環境的連結貼錯了,本文已更新為正確測試環境-Windows Server 2012 R2: New Features in AD FS

1.我是套用在managed objects\users OU上然後在WS2012R2ADFS-Client檢查是否有進入排程

2.對在GPO設定,選scheduled Task (At Least Windows 7)之後不用選擇執行身分,登入時才執行,觸發條件為時間,事後我去看taskmgr計算機也是該domain users執行的

我猜你可能選到第一個所以才沒辦法在client端的task scheduler裡出現
http://ithelp.ithome.com.tw/upload/images/20170115/20071153gnG1pnf6s8.png

leekk iT邦新手 5 級 ‧ 2017-01-15 15:26:42 檢舉

您好
我的環境:dc是2008 r2
我是選scheduled Task vista 或更新的 那個選項(一樣第三個)
裡面有win7選項,我是選win7

執行工作排程器時,會出現輸入管理員帳密畫面,改執行身分是admin 就可以看到派送的gpo工作排程,簡單說我是選您說的At Least Windows 7 沒錯,但用domain user 權限進入還是看不到。

yoloshiku iT邦新手 5 級 ‧ 2017-01-16 02:39:08 檢舉

抱歉我沒有2008r2的機器可以測試,不過你可以參考以下的連結也許有幫助,你也可以看看log應該會有些線索
http://www.thesysadminhimself.com/2010/12/creating-scheduled-task-via-gpo-fails.html

0
喬可
iT邦新手 3 級 ‧ 2017-02-16 11:27:26

執行身份打上 "NT AUTHORITY\SYSTEM"
然後只勾選 "不論使用者登入與否皆執行"

我要發表回答

立即登入回答