Windows 10计划任务不使用域凭据访问网络资源

分享于 

3分钟阅读

互联网

 

问题:

我有一个用于测试的简单任务,它由一个包含两行的批处理文件组成:


whoami >result1.txt


copy serversharetest1.txt C:UsersxxxDocuments > output.txt 2> error.txt



当我从交互式登录中运行它时,它工作正常,因为我有域凭据,可以访问共享。

当我从计划任务运行它时,它失败了,

任务运行后,error.txt为空,output.txt包含"Access is denied.",因为任务历史记录中无有用的信息。

在服务器端,我检查了安全事件日志,当命令失败时,我可以看到Audit Success匿名登录事件,一个类似于匿名登录的审计失败条目尝试使用SeBackupPrivilege:


A privileged service was called.



Subject:


 Security ID: ANONYMOUS LOGON


 Account Name: ANONYMOUS LOGON


 Account Domain: NT AUTHORITY


 Logon ID: 0x180e12c36



Service:


 Server: Security


 Service Name: -



Process:


 Process ID: 0x4


 Process Name: 



Service Request Information:


 Privileges: SeBackupPrivilege



然后,审计成功匿名登录会话销毁。

客户端是Windows 10,服务器是Windows 2008 R2。凭据是Active Directory中的域用户帐户。

在批处理文件中,我通过硬编码凭证来工作,但是显然这不能长期使用。


Network access: Do not allow storage of passwords and credentials for network authentication



at



Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options




答案1:

默认情况下,计划任务作为一个LocalSystem的特殊本地帐户运行。

它对网络资源的访问为零(没有活动目录权限,因此没有网络共享权限),而对本地系统的访问几乎是无限制的(甚至比管理员多)。

问题是,为什么要运行访问远程共享的内容?

大多数软件通常要在用户登录后运行,用户登录时可能有运行任务的选项,或者你需要找到其他方法。


答案2:

理论上,你也可以使用domain GPO为特定用户或组设置权限。



Window  Windows  acc  network  resource  DOM