Вопрос или проблема
Вот моя конфигурация (на DC):
Примечание: пользователь является обычным в домене.
Чего мне не хватает?
Когда я запускаю:
gpresult /user asap\deltacopy /V
Я получаю следующее:
ИНФОРМАЦИЯ: У пользователя "asap\deltacopy" нет данных RSoP.
Что ведет к другому вопросу:
Если этот пользователь никогда не должен входить на сервер, как это вообще может работать?
Что-то не так с правами “Вход как пакетная задача”.
Попробуйте gpupdate /force, чтобы применить обновленную политику. Это также зависит от задач, которые вы хотите, чтобы пользователь выполнял. Если хотите, чтобы пользователь запускал скрипт или exe, убедитесь, что это локальный ресурс, а не где-то в сети на другом компьютере. Также попробуйте сделать пользователя локальным администратором. Чаще всего это решает проблему. Если ничего не помогает, убедитесь, что нет других политик, ограничивающих “Вход как пакетная задача”. Чтобы исключить некоторые из вышеупомянутых причин, попробуйте вручную войти на/в машину и запустить задачу/и вручную.
Пожалуйста, дайте знать, если это сработало для вас.
В конце концов, мое решение заключалось в том, чтобы сделать пользователя DeltaCopy администратором и запретить ему локальный вход.
Я понимаю, что это DC, с которым я имею дело, так что лучше так.
Завершено!
Ответ или решение
Настройка доменного пользователя для выполнения запланированной задачи требует учета ряда факторов безопасности и корректной конфигурации групповых политик. Рассмотрим шаги, которые помогут вам успешно настроить эту задачу.
Анализ текущей конфигурации
-
Ошибки и отчеты GPO: Как видно из вашего описания, вы столкнулись с проблемой отсутствия данных RSoP для пользователя "asap\deltacopy", что указывает на проблемы с применением групповых политик. Это может быть связано с тем, что пользователь никогда не выполнял вход на сервер.
-
Права "Log on as batch job": Несоответствие правам на выполнение пакетных заданий часто становится причиной ошибок при выполнении запланированных задач. Эти права должны быть явно привязаны к пользователю через политику безопасности.
Решение
1. Обновление групповых политик
Начнем с обновления всех групповых политик:
gpupdate /forceЭто действие гарантирует, что последние изменения в политике безопасности и прав пользователя будут немедленно применены.
2. Проверка политик безопасности
- Перейдите в Политика безопасности группы (Local Security Policy) на вашем DC.
- Убедитесь, что пользователь имеет право "Log on as batch job". Откройте
gpedit.msc, зайдите вLocal Policies->User Rights Assignment, и добавьте пользователя к этой политике, если необходимо.
3. Помещение в группу "Администраторы локального уровня"
Вы упомянули, что сделали пользователя администратором, но с ограничением права локального входа. Это решение правильно в контексте безопасности на контроллере домена, но убедитесь, что данная настройка выполняется правильно:
- В консоли
Active Directory Users and Computersдобавьте пользователя "asap\deltacopy" в соответствующую группу. - В параметрах безопасности отключите возможность локального входа для этой учетной записи для повышения безопасности.
4. Расположение скриптов и файлов
Убедитесь, что все файлы, скрипты или исполняемые файлы, которые должна выполнять задача, находятся на локальной машине, а не в сети, поскольку это может вызвать дополнительные проблемы с доступом.
Финальные проверки
- Убедитесь, что никакие другие политики безопасности не ограничивают право "Log on as batch job".
- Попробуйте вручную войти в систему на другом компьютере под этой учетной записью и вручную запустить задачу, чтобы определить потенциальные проблемы, связанные с правами и доступом.
Если выполнены все вышеуказанные шаги, но проблема сохраняется, возможно, требуется более глубокий аудит политики безопасности и прав доступа. Рекомендуется также проконсультироваться с ИТ-специалистом по безопасности для рассмотрения других возможных ограничений и конфигурационных проблем.