Чи можна непривілейованому користувачеві надавати права лише для читання завдання СИСТЕМИ?

0

У мене заплановане завдання, яке повинно працювати як обліковий запис SYSTEM, але я хотів би дозволити непривілейованим користувачам можливість його бачити.

Зокрема, мені цікаво, щоб користувачі могли бачити / отримувати час останнього запуску та стан / стан конкретної задачі. Очевидно, їм потрібно було б знати ім’я / місцезнаходження. У них не повинно бути ніякого контролю над цим, і немає ніяких причин, щоб їм було потрібно бачити всі заплановані завдання чи навіть інші властивості цього завдання (хоча це було б добре).

Чи можливо це? Якщо так, то як?

Якщо ні, то що може бути міркуванням, чому? Це не схоже на ризик безпеки.

Дякую.

windows  security  scheduled-tasks  uac 
Teknowledgist
джерело
У моїй непривілейованій системі в моєму непривілейованому обліковому записі можна побачити завдання, які "використовують" моє ім'я користувача, computername$обліковий запис INTERACTIVEі Usersгрупи та групи. Я не бачу завдань, які працюють в SYSTEMобліковому записі, якщо я не підвищений, так само як я не бачу завдань, які працюють в облікових записах інших користувачів.
Teknowledgist

Відповіді:

0

Рішення полягає в наданні прав на читання файлу для завдання в %SystemRoot%\System32\Tasksпапці. Це можна зробити як адміністратор через gui, але я це зробив за допомогою сценарію PowerShell, що працює як SYSTEM (або адміністратор):

$TaskFile = Join-Path $env:SystemRoot "System32\Tasks\$TaskName"
if (Test-Path $TaskFile) {
   $Acl = get-acl -Path $TaskFile
   $rule = New-Object -TypeName system.security.accesscontrol.filesystemaccessrule -ArgumentList ('Authenticated Users','Read','Allow')
   $Acl.setaccessrule($rule)
   set-acl -Path $TaskFile -AclObject $Acl
}

Сподіваюся, що це комусь допоможе.

Teknowledgist
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.