У меня есть запланированное задание, которое должно выполняться как учетная запись SYSTEM, но я бы хотел, чтобы непривилегированные пользователи могли его видеть.

В частности, я заинтересован в том, чтобы пользователи могли видеть / получать информацию о последнем времени выполнения и состоянии / состоянии конкретной задачи. Очевидно, что им нужно знать имя / местоположение. Они не должны иметь никакого контроля над ним, и нет никаких причин, по которым им нужно видеть все запланированные задачи или даже другие свойства этой задачи (хотя это будет нормально).

Это возможно? Если так, то как?

Если нет, то в чем причина? Это не похоже на угрозу безопасности.

Благодарю.

1 ответ1

0

Решение состоит в том, чтобы предоставить права на чтение файла для задачи в %SystemRoot%\System32\Tasks . Это можно сделать как администратор через графический интерфейс, но я сделал это с помощью скрипта PowerShell, работающего от имени SYSTEM (или Admin):

$TaskFile = Join-Path $env:SystemRoot "System32\Tasks\$TaskName"
if (Test-Path $TaskFile) {
   $Acl = get-acl -Path $TaskFile
   $rule = New-Object -TypeName system.security.accesscontrol.filesystemaccessrule -ArgumentList ('Authenticated Users','Read','Allow')
   $Acl.setaccessrule($rule)
   set-acl -Path $TaskFile -AclObject $Acl
}

Надеюсь, это кому-нибудь поможет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .