Як можна дозволити не адміністраторам використовувати shutdown.exe?

Відповідно до коментарів у прийнятій відповіді на це запитання, у мене виникають проблеми із виконанням запланованого завдання, яке дзвонить shutdown.exe, навіть коли користувач є адміністратором. Я керую чужою машиною за допомогою свого основного облікового запису, тому я не можу точно змінити занадто сильно, оскільки їм подобаються речі таким, яким вони є.

Що насправді дивно, це те, що я можу змусити виконати завдання лише у разі:

1. Користувач - адміністратор.
2. Вони визначили пароль.

З незрозумілої мені причини, не тільки користувач повинен бути адміністратором, але й повинен мати пароль у акаунті, щоб виконати заплановане завдання. В іншому випадку я отримую відхилені в доступі помилки, і завдання не вдається виконати.

Як я можу зробити цю роботу, не змушуючи користувача визначати пароль для свого облікового запису?

По суті, інша мета - вимкнути комп'ютер (незалежно від того, хто є чи не ввійшов у систему) об 11 годині вечора.

Я зіткнувся з наступними помилками нижче, коли намагаюся задати завдання в Scheduled Tasksпрограмі:

Під час спроби встановити інформацію облікового запису завдання сталася помилка.
Конкретна помилка:
0x8007005: Доступ заборонено.
Ви не маєте дозволу на виконання запитуваної операції.

Для запису, ось моя політика безпеки, ви бачите, що мій користувач має дозвіл на примусове вимкнення та вимкнення комп'ютера вручну:

Найпростішим рішенням було б налаштувати зазначене заплановане завдання для запуску під обліковим записом адміністратора. Вам не потрібно використовувати той самий обліковий запис, як користувач, який зазвичай увійшов у систему, - просто надайте різні облікові дані під час створення завдання.

Якщо ви не хочете, щоб у адміністратора був пароль, ви можете просто створити спеціальний обліковий запис лише для запланованого завдання. (Обмежений обліковий запис користувача також буде працювати, якщо застосувати виправлення нижче.)

shutdown.exeПрограма повинна SeRemoteShutdownPrivilege працювати, замість звичайного SeShutdownPrivilege - я думаю, що він використовує той же RPC для відключення локальних і віддалених машин. (Це також пояснило б необхідність введення пароля - за замовчуванням вилучаються лише консольні входи, що, очевидно, не включає RPC.)

Ви можете надати SeRemoteShutdownPrivilege через secpol.msc→ Місцева політика → Призначення прав користувача , відредагувавши запис "Примусове вимкнення з віддаленої системи".

• Ви можете створити спеціальний обліковий запис для завдання та додати його сюди (найкращий вибір).
• Для інтерактивного використання командного рядка будь-яким користувачем ви можете додати INTERACTIVE.
• Для планових завдань будь-якого користувача додайте BATCH.

Я бачу, ви все ще намагаєтесь запланувати завдання в обліковому записі адміністратора без пароля.

Я бачу те, що єдиний інший параметр, який стосується порожніх паролів, - це "Обмежити використання порожніх паролів для локальної реєстрації в локальному обліковому записі".

Спробуйте це налаштування. Це в розділі "Параметри безпеки", безпосередньо під призначеннями користувача.

Це простіше рішення:

Якщо ви хочете дозволити запуск лише місцевим користувачам %windir%\system32\shutdown.exe -s -t 0, надайте SeRemoteShutdownPrivilegeгрупу INTERACTIVE. Тільки місцеві користувачі є членами цієї групи.

Як це зробити: запустіть secpol.msc. Відкрити Security Settings \ Local Policies \ User Rights Assignment. Двічі клацніть Force shutdown from a remote systemправою панеллю. Клацніть Add User or Group. Введіть ім'я INTERACTIVEв текстове поле і натисніть Check names, потім клацніть OKі OKще раз.

Джерело: http://blogs.msdn.com/aaron_margosis/archive/2006/01/27/518214.aspx

Існують деякі обмеження щодо створення завдань для облікових записів із порожніми паролями.

Ви можете створити завдання, яке запустить shutdown.exe, але вам потрібно встановити параметр "Не зберігати пароль". Це стосується Windows 7 SP1, якщо ви використовуєте іншу ОС, будь ласка, повідомте нас про це.

Для Windows XP використовуйте інструмент AT командного рядка:

at 23:00 /every:monday,tuesday,wednesday,thursday,friday,saturday,sunday shutdown /s