Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Tasks können auf Terminalserver nicht ausgeführt werden

Frage Microsoft Windows Server

Mitglied: Morpheus2100

Morpheus2100 (Level 1) - Jetzt verbinden

18.01.2011, aktualisiert 15:56 Uhr, 7073 Aufrufe, 14 Kommentare, 1 Danke

Policy auf Terminalserver verweigert ausführen von schtasks /run /tn Taskname

Wie schon im Vorwort beschrieben, verweigert mit eine Terminalserver Policy das ausführen von:

schtasks /run /tn Taskname /s

Fehler: Zugriff verweigert!

Ich suche seit Tagen nach dem Problem, kann einer von euch sagen was in der Angehängten Policy (gpresult /V /R /S Terminalserver2 /user st-anna\testbenutzer1) verhindern könnte das ich keinen Task auf dem Server ausführen darf?

Ich bin echt am verzweifel, da ich den Fehler nicht finde! (bzw. die Restriktion)

Vielen Dank für eure Hilfe im vorraus.

Greets Morph

http://www.file-upload.net/download-3140068/gpresult_remote.txt.txt.htm ...
Mitglied: DerWoWusste
18.01.2011 um 22:36 Uhr
Hi.

Tasks sind auch mit ACLs belegt. Prüf einfach nach, ob der Benutzer, der schtasks startet, das Recht hat, den Task auszuführen - jede Wette: nein.
Falls es ein Server der Generation 2008 oder 2008 R2 ist, muss die Kommandozeile ggf. elevated gestartet werden.
Bitte warten ..
Mitglied: Morpheus2100
19.01.2011 um 09:56 Uhr
Hallo DerWoWusste,

jetzt bin ich etwas baff, ACL´s auf dem Taskplaner??
Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!

Das Prinzip ist so dass ich mit dem Task eine DC Replikation anstoßen möchte, um die AD Delegation zu umgehen, habe ich einen Task erstellt, welcher mir einen "repadmin /syncall" ausführt.
Der Task läuft unter DomänenAdmin Rechten, wird aber von einem User ausgeführt, der sehr wenig rechte hat!

D.h. User mit wenig Rechten führt den Task aus und der Task wird wiederum mit Domänenadminrechten ausgeführt.

Leider weis ich nicht wo ich die ACL´s auf dem Taskeinstellen kann und wie ich per Kommandozeile eine Kommandozeile elevated starten kann? (mit den gleichen Rechten mit denen der User angemeldet ist!)

Vielen Dank für deine Hilfe!
Bitte warten ..
Mitglied: DerWoWusste
19.01.2011 um 12:46 Uhr
Die Tasks sind Dateien unter c:\windows\system32\tasks.
Kommandozeile elevaten ist nur nötig, falls die Berechtigung zum ausführen auf den Task der Admingruppe gegeben wurde und der User Mitglied dieser ist. Wenn nicht, dann unnötig. Sonst: cmd.exe rechtsklicken - "ausführen als Administrator" wählen.
Bitte warten ..
Mitglied: Morpheus2100
19.01.2011 um 15:53 Uhr
Habe jetzt die Gruppen Berechtigt, in denen der user ist, sogar mit ändern Rechte, jedoch bekomme ich noch immer Zugriff verweigert.

Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine Ahnung was ich hier alles falsch mache!

Hast du noch nen Hinweis?
Bitte warten ..
Mitglied: DerWoWusste
19.01.2011 um 18:16 Uhr
Gib nochmal wieder, was icacls c:\windows\system32\tasks\taskname ausspuckt und gib auch das Server-OS an.
Erläutere auch näher:
Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
Bitte warten ..
Mitglied: goscho
19.01.2011 um 18:17 Uhr
Zitat von Morpheus2100:
Rechtsklick ist auf dem Terminalserver gesperrt, und zugriff auf c: ist ausgeblendet, somit bin ich schon wieder am Ende. Keine
Ahnung was ich hier alles falsch mache!
Du darfst aber schon administrieren, diesen TS auch?
Ist es eigentlich ein Server 2008 (R2) oder älter?
Hast du noch nen Hinweis?
Ne, ich habe noch eine Frage:
Das Prinzip ist so dass ich mit dem Task eine DC Replikation anstoßen möchte,
Warum willst du auf diesem TS die DC-Replikation anstoßen?
Bitte warten ..
Mitglied: Morpheus2100
21.01.2011 um 15:48 Uhr
Es geht hier um 2008 R2 Terminalserver und DC´s.

Klar hab ich Volladminrechte, jedoch nicht die User die die Replikation anstoßen sollen!

Hintergrund, wieso das ganze: Da Passwort zurücksetzten der Helpdesk machen soll und sonst eigentlich garnichts dürfen sollte! Uns deshalb die Einschränkungen.

Greets
Morph
Bitte warten ..
Mitglied: DerWoWusste
21.01.2011 um 21:04 Uhr
Antwortest Du noch?
Bitte warten ..
Mitglied: Morpheus2100
22.01.2011 um 00:14 Uhr
Sorry hab deinen Beitrag überlesen, werde ich am Montag gleich testen und dir Feedback geben! Danke schon mal für die Hilfe!
Bitte warten ..
Mitglied: Morpheus2100
24.01.2011 um 12:53 Uhr
c:\windows\system32\tasks\ReplicateAllDCs NT-AUTORITŽT\SYSTEMM)
Domäne\AdministratorR)
Domäne\security_ad_tier_1RX)
Domäne\security_ad_tier_2M)
VORDEFINIERT\AdministratorenI)(R,W,D,WDAC,WO)
NT-AUTORITŽT\SYSTEMI)(R,W,D,WDAC,WO)
VORDEFINIERT\AdministratorenI)(F)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

OS: Server 2008 R2 GER

Antwort zu (Alles was ich dazu weis, ist, dass ich per GPO einstellen kann, ob der User Ausführen darf oder Ändern, Ausführen darf er, laut GPO!
):
GPO-->Windows-Komponenten/Aufgabenplanung

Richtlinie Einstellung
Ausführen oder Beenden einer Aufgabe verhindern Deaktiviert
Erstellen von neuen Aufgaben nicht zulassen Aktiviert
Löschen von Aufgaben nicht zulassen Aktiviert
Bitte warten ..
Mitglied: DerWoWusste
24.01.2011 um 17:46 Uhr
Und ist nun das Konto welches Du vorsiehst, um den task zu starten darunter, oder nicht? Sieht mir nicht danach aus.
Bitte warten ..
Mitglied: Morpheus2100
24.01.2011 um 23:54 Uhr
Klar der User ist in der Gruppe Security_ad_Tier_1!
Bitte warten ..
Mitglied: Morpheus2100
27.01.2011 um 16:22 Uhr
Hat jemand noch ne Idee an was das liegen könnte?
Bitte warten ..
Mitglied: Poppers
07.03.2012 um 13:17 Uhr
Hallo Zusammen,

ist euer Problem noch aktuell ???

Hätte da ne Lösung:
Die geplanten Tasks können nur von lokalen Admins ausgeführt werden, die Freigabe kann mit graphischen Windows-Funktionen nicht geändert werden ...
Aber halt ... seit Jahren gibt es da ein Programm, dass sich erfolgreich gegen den übermächtigen ... naja, lassen wir das, nun zur Lösung.

Die gute alte Dos-Box hilft weiter. Für die geplanten Tasks kann ich die Freigabe mit dem Befehl
" cacls C:\Windows\Tasks /E /G <USERNAME>:F " bearbeiten. Bitte beachten, dass auch die Eingaben /E (Bearbeiten, anstatt ersetzen !!!) und /G (Berechtigung für entsprechenden Benutzer setzen --> :F bedeutet Vollzugriff).

Ich habe in meiner Umgebung der lokalen Gruppe "Hauptbenutzer" Vollzugriff erteilt und die entsprechenden User der lokalen Gruppe Hauptbenutzer zugeordnet.

Tipp: CACLS /? (Hilfe zum genannten Befehl)

Grüße, Poppers
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows 2008 Terminalserver hängt (10)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
gelöst Windows Server2016 TerminalServer-Rolle Erfahrungen (5)

Frage von johnde zum Thema Windows Server ...

Windows Server
Windows 2003 Terminalserver - ausführbare Dateien einschränken (6)

Frage von Excaliburx zum Thema Windows Server ...

Windows Server
Windows 2012 Terminalserver Authentifizierung auf Netzwerkebene

Frage von timbow zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...