Так что обратите внимание на немного стандартных вещей пользователя. Большинство путей разные. Сеть серверно ограничена. Нет сетевых дисков.
Вы должны опубликовать свой сценарий.
Из справки по локальной политике безопасности
Назначение сценариев выключения компьютера Чтобы назначить сценарии выключения компьютера
...
Дополнительные соображения
Для выполнения этой процедуры у вас должно быть разрешение «Редактировать настройки» для редактирования объекта групповой политики. По умолчанию члены группы безопасности «Администраторы домена», группы безопасности «Администраторы предприятия» или группы безопасности «Владельцы-создатели групповой политики» имеют разрешение на изменение параметров для редактирования объекта групповой политики.
Сценарии выключения выполняются как Локальная система, и они имеют полные права, связанные с возможностью запуска как Локальная система.
Если синхронные сценарии запускаются синхронно, это может привести к медленному запуску.
Дополнительные ссылки
Используйте сценарии запуска, завершения работы, входа в систему и выхода из системы
Из Windows SDK
Учетная запись LocalSystem
Учетная запись LocalSystem является предопределенной локальной учетной записью, используемой диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности, поэтому вы не можете указать ее имя при вызове функции LookupAccountName. Он имеет широкие привилегии на локальном компьютере и действует как компьютер в сети. Его токен включает идентификаторы NT AUTHORITY\SYSTEM и BUILTIN\Administrators; эти учетные записи имеют доступ к большинству системных объектов. Имя аккаунта во всех локалях есть.\LocalSystem. Имя, LocalSystem или ComputerName\LocalSystem также могут быть использованы. Эта учетная запись не имеет пароля. Если вы укажете учетную запись LocalSystem при вызове функции CreateService, любая предоставленная вами информация о пароле игнорируется.
Служба, которая работает в контексте учетной записи LocalSystem, наследует контекст безопасности SCM. SID пользователя создается из значения SECURITY_LOCAL_SYSTEM_RID. Учетная запись не связана ни с одной из зарегистрированных учетных записей пользователей. Это имеет несколько последствий:
Раздел реестра HKEY_CURRENT_USER связан с пользователем по умолчанию, а не с текущим пользователем. Чтобы получить доступ к профилю другого пользователя, выдать себя за пользователя, а затем получить доступ к HKEY_CURRENT_USER.
Служба может открыть раздел реестра HKEY_LOCAL_MACHINE\SECURITY.
Служба представляет учетные данные компьютера на удаленных серверах.
Если служба открывает командное окно и запускает пакетный файл, пользователь может нажать CTRL+C, чтобы завершить пакетный файл и получить доступ к командному окну с разрешениями LocalSystem.
Учетная запись LocalSystem имеет следующие привилегии:
SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME
Большинству сервисов не нужен такой высокий уровень привилегий. Если вашей службе не нужны эти привилегии и она не является интерактивной, рассмотрите возможность использования учетной записи LocalService или NetworkService. Для получения дополнительной информации см. Безопасность службы и Права доступа.
Windows NT . Служба имеет ограниченный доступ к сетевым ресурсам, таким как общие ресурсы и каналы, поскольку не имеет учетных данных и должна подключаться с использованием нулевого сеанса. Следующий раздел реестра содержит значения NullSessionPipes и NullSessionShares, которые используются для указания каналов и общих ресурсов, к которым могут подключаться нулевые сеансы:
HKEY_LOCAL_MACHINE\SYSTEM
CurrentControlSet
Services
LanmanServer
Parameters
В качестве альтернативы вы можете добавить значение RestrictNullSessAccess к ключу и установить его равным 0, чтобы разрешить всем пустым сеансам доступ ко всем каналам и общим ресурсам, созданным на этом компьютере.
Отправить комментарии по этой теме в Microsoft
Дата постройки: 02.10.2006
