Як можна дозволити не адміністраторам використовувати shutdown.exe?


6

Відповідно до коментарів у прийнятій відповіді на це запитання, у мене виникають проблеми із виконанням запланованого завдання, яке дзвонить shutdown.exe, навіть коли користувач є адміністратором. Я керую чужою машиною за допомогою свого основного облікового запису, тому я не можу точно змінити занадто сильно, оскільки їм подобаються речі таким, яким вони є.

Що насправді дивно, це те, що я можу змусити виконати завдання лише у разі:

  1. Користувач - адміністратор.
  2. Вони визначили пароль.

З незрозумілої мені причини, не тільки користувач повинен бути адміністратором, але й повинен мати пароль у акаунті, щоб виконати заплановане завдання. В іншому випадку я отримую відхилені в доступі помилки, і завдання не вдається виконати.

Як я можу зробити цю роботу, не змушуючи користувача визначати пароль для свого облікового запису?

По суті, інша мета - вимкнути комп'ютер (незалежно від того, хто є чи не ввійшов у систему) об 11 годині вечора.

Я зіткнувся з наступними помилками нижче, коли намагаюся задати завдання в Scheduled Tasksпрограмі:

введіть тут опис зображення

Під час спроби встановити інформацію облікового запису завдання сталася помилка.
Конкретна помилка:
0x8007005: Доступ заборонено.
Ви не маєте дозволу на виконання запитуваної операції.

Для запису, ось моя політика безпеки, ви бачите, що мій користувач має дозвіл на примусове вимкнення та вимкнення комп'ютера вручну:

введіть тут опис зображення


Чи заплановане завдання працює на машині, яку потрібно вимкнути, або віддалено? Ви намагалися використовувати psshutdown замість вимкнення?
Гаррі Джонстон

Місцево не пробували psshutdown.
Нафтулі Кей

1
Windows вимагає пароль для віддаленого робочого столу та інших операцій мережевого адміністрування, оскільки це був би просто великий отвір для безпеки, щоб мати його будь-яким іншим способом. Крім того, багато людей спочатку звинувачуватимуть у слабкій безпеці Microsoft, а не у власній недбалості, якби їх зламали.
Hand-E-Food

Хм. Ну, Linux, як правило, досить безпечний, і я можу просто sudo crontab -eі додати 0 23 * * * shutdown -P now. Що може бути настільки важким, щоб обліковий запис адміністратора в Windows щодня вимикав комп'ютер у визначений час?
Naftuli Kay

1
@grawity: Я не думаю, що SYSTEM не може мати прав на мережевий домен. Це просто підсилює ваш висновок: модель безпеки Windows NT безпечніша (надійніша) саме тому, що важче отримати всі права. Корінь Unix є надто зручним, отже, sudo
MSalters

Відповіді:


5

Найпростішим рішенням було б налаштувати зазначене заплановане завдання для запуску під обліковим записом адміністратора. Вам не потрібно використовувати той самий обліковий запис, як користувач, який зазвичай увійшов у систему, - просто надайте різні облікові дані під час створення завдання.

Якщо ви не хочете, щоб у адміністратора був пароль, ви можете просто створити спеціальний обліковий запис лише для запланованого завдання. (Обмежений обліковий запис користувача також буде працювати, якщо застосувати виправлення нижче.)


shutdown.exeПрограма повинна SeRemoteShutdownPrivilege працювати, замість звичайного SeShutdownPrivilege - я думаю, що він використовує той же RPC для відключення локальних і віддалених машин. (Це також пояснило б необхідність введення пароля - за замовчуванням вилучаються лише консольні входи, що, очевидно, не включає RPC.)

Ви можете надати SeRemoteShutdownPrivilege через secpol.mscМісцева політикаПризначення прав користувача , відредагувавши запис "Примусове вимкнення з віддаленої системи".

  • Ви можете створити спеціальний обліковий запис для завдання та додати його сюди (найкращий вибір).
  • Для інтерактивного використання командного рядка будь-яким користувачем ви можете додати INTERACTIVE.
  • Для планових завдань будь-якого користувача додайте BATCH.

1
+1: спеціальний рахунок для запланованого завдання. ВЕЛИКА відповідь.
surfasb

Я намагався дозволити моєму користувачеві зробити це, включивши INTERACTIVE, BATCHі моєму користувачеві за цю привілей, і тепер Windows не пройде "екран вітання", він просто зависне :(
Naftuli Kay

@TK: Дивно, оскільки привітання не використовує цю привілей ні для чого. Спробуйте увійти як інший користувач або через безпечний режим. Якщо вам вдалося ввійти, перевірте журнал подій ( eventvwr.msc).
grawity

Я не можу потрапити в жоден обліковий запис. Відображається екран вітання і більше нічого. У мене немає видимих ​​варіантів.
Naftuli Kay

@TK: Навіть у безпечному режимі? Крім того, спробуйте натиснути Ctrl + Alt + Del двічі на вітальному екрані.
grawity

1

Я бачу, ви все ще намагаєтесь запланувати завдання в обліковому записі адміністратора без пароля.

Я бачу те, що єдиний інший параметр, який стосується порожніх паролів, - це "Обмежити використання порожніх паролів для локальної реєстрації в локальному обліковому записі".

Спробуйте це налаштування. Це в розділі "Параметри безпеки", безпосередньо під призначеннями користувача.


1

Це простіше рішення:

Якщо ви хочете дозволити запуск лише місцевим користувачам %windir%\system32\shutdown.exe -s -t 0, надайте SeRemoteShutdownPrivilegeгрупу INTERACTIVE. Тільки місцеві користувачі є членами цієї групи.

Як це зробити: запустіть secpol.msc. Відкрити Security Settings \ Local Policies \ User Rights Assignment. Двічі клацніть Force shutdown from a remote systemправою панеллю. Клацніть Add User or Group. Введіть ім'я INTERACTIVEв текстове поле і натисніть Check names, потім клацніть OKі OKще раз.

Джерело: http://blogs.msdn.com/aaron_margosis/archive/2006/01/27/518214.aspx


0

Існують деякі обмеження щодо створення завдань для облікових записів із порожніми паролями.

Ви можете створити завдання, яке запустить shutdown.exe, але вам потрібно встановити параметр "Не зберігати пароль". Це стосується Windows 7 SP1, якщо ви використовуєте іншу ОС, будь ласка, повідомте нас про це.

Створити вікно завдань

Для Windows XP використовуйте інструмент AT командного рядка:

at 23:00 /every:monday,tuesday,wednesday,thursday,friday,saturday,sunday shutdown /s

У Windows XP, вибачте. Я щойно оновив теги питань, щоб це відобразити.
Naftuli Kay

Відповідь оновлена ​​відповідно.
Гаррі Джонстон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.