iT邦幫忙

0

Client環境:
利用GPO發布工作排程給「已加入網域,但是使用的是本機帳號而不登入網域帳號」的Client電腦(Win 10 Pro)

欲排定的工作為:
每天固定時間執行vbs,透過vbs去呼叫bat執行背景備分作業
因部分Client是24小時運作的,故而透過工作排程指定固定時間運作

設定說明:
1)已利用GPO中的電腦設定新增排定的工作內容如下圖
https://ithelp.ithome.com.tw/upload/images/20200706/20128438uCYAUsUZG9.png

其中(當執行工作時,請使用下列使用者帳戶使用此帳號「NT AUTHORITY\SYSTEM」),經測試後,測試的Client端電腦可成功在重開機登入時獲取GPO的工作排程如下圖
https://ithelp.ithome.com.tw/upload/images/20200706/20128438dbnFhwmNv3.png

但是卻無法順利執行排定的作業(顯示0X1)
有發現在GPO中是設定「只有使用者登入時才執行」,可是測試的Client端電腦獲取的設定卻是「不論使用者登入與否均執行」

2)vbs內容如下(用意為背景執行欲呼叫的bat)

Dim WinScriptHost
Set WinScriptHost = CreateObject("WScript.Shell")
WinScriptHost.Run Chr(34) & "\\網路硬碟的IP Address\Share\Software\backupforPOS\Backup_Client_for_DomainComputers.bat" & Chr(34), 0
Set WinScriptHost = Nothing

3)bat內容如下

robocopy C:\Users\%username%\Desktop \\網路硬碟的IP Address \clientbackup\%COMPUTERNAME%\%username%\Desktop\ /S /xo /purge /max:104857600
robocopy C:\Users\%username%\Documents \\網路硬碟的IP Address \clientbackup\%COMPUTERNAME%\%username%\Documents\ /S /xo /purge /max:104857600

*直接在測試的Client端電腦去點選vbs可正常運作,vbs及bat存放於網路硬碟內,測試的Client端電腦是有存取權限

**問題:**該如何才能讓GPO發布的工作排程在,已加入網域,但是使用的是本機帳號而不登入網域帳號的Client電腦,成功收到排程及運作?

jeles51 iT邦研究生 3 級 ‧ 2020-07-06 12:42:57 檢舉
猜測如下:
原文-> 1)已利用GPO中的電腦設定新增排定的工作內容如下圖.
關鍵字: [電腦設定] / [只有使用者登入時才執行]
解釋: 若是在 GPO 電腦設定裡, 才不會管你是否指定 [只有使用者登入時才執行].
lemon_boa iT邦新手 5 級 ‧ 2020-07-06 17:43:00 檢舉
最終Client電腦獲取的工作排程是「不論使用者登入與否均執行」,但到了排程時間仍未正確執行vbs。
我也不在意要「只有使用者登入時才執行」或是「不論使用者登入與否均執行」要勾選哪個,只要能正確運作就好了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
zero
iT邦好手 1 級 ‧ 2020-07-06 18:49:01

原因出在你vbs跟bat的內容,你用robocopy備份到的路徑是SMB的位置,

SYSTEM帳戶是本地帳戶,是無法存取網路資源,所以你備份到網路硬碟會失敗,

%username%這個變數,他在工作排程運作的時候也變成SYSTEM,

由於你的電腦是有網域狀態的,所以連線的身份會變成%COMPUTERNAME%

與你電腦登入的使用者無關,所以你有幾種簡單的解法,

1.改用使用者登入後執行,讓工作排程自動帶入使用者資訊,這樣程式碼可以不用改

2.將網路硬碟分享的權限,修改成Domain COMPUTER有權讀寫,

前提是你的SMB服務有加網域。


最不好的解法,用Net use去指定SMB路徑,會在你的Script內留下帳戶跟密碼

lemon_boa iT邦新手 5 級 ‧ 2020-07-07 13:21:12 檢舉

感謝您的說明!

但實際上這台Client本機帳號,是有權限存取NAS的SMB資料夾
且在Client直接點選vbs或是bat,都能成功在bat指定的NAS路徑建立資料夾備份檔

而改選擇「只有使用者登入時才執行」這個設定,在GPO端就是設定這個選項,但是Client所獲取的設定變成「不論使用者登入與否均執行」,且選項是反灰無法變更

因此困惑的是,是否有除了「NT AUTHORITY\SYSTEM」其他的使用者可填寫,讓Client能成功獲取工作排程並順利執行?

zero iT邦好手 1 級 ‧ 2020-07-08 15:33:42 檢舉

為何這台電腦會用本機帳戶去存取NAS的SMB資料夾?
已經加入網域的電腦,就該使用網域帳戶存取才對。

是否有除了「NT AUTHORITY\SYSTEM」??,當然有
"Domain users" 基本上就代表著該網域的使用者帳戶

我要發表回答

立即登入回答