5
GPO - Geplante Aufgabe als Domänen Admin
Hallo Zusammen,
ich möchte gerne via. GPO eine Aufgabenplanung verteilen.
Wenn ich diese unter "Benutzerkonfiguration" erstelle und in den Sicherheitsoptionen "%LogonDomain%\%LogonUser%" auswähle, so wird diese erfolgreich von meinem Testclient übernommen.
Ich möchte jedoch das die Aufgabe mit dem Benutzerkonto "%domäne%\%DomainAdmin%" ausgeführt wird. Das kann ich auch konfigurieren, allerdings erhalte ich dann die folgende Fehlermeldung:
Das Benutzer " xxxx "-Einstellungselement im Gruppenrichtlinienobjekt " xxx {96B83783-65C9-4D25-BADC-B1A47F8DAAC1}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt. aufgetreten ist.
Hat da einer eine Idee zu?
ich möchte gerne via. GPO eine Aufgabenplanung verteilen.
Wenn ich diese unter "Benutzerkonfiguration" erstelle und in den Sicherheitsoptionen "%LogonDomain%\%LogonUser%" auswähle, so wird diese erfolgreich von meinem Testclient übernommen.
Ich möchte jedoch das die Aufgabe mit dem Benutzerkonto "%domäne%\%DomainAdmin%" ausgeführt wird. Das kann ich auch konfigurieren, allerdings erhalte ich dann die folgende Fehlermeldung:
Das Benutzer " xxxx "-Einstellungselement im Gruppenrichtlinienobjekt " xxx {96B83783-65C9-4D25-BADC-B1A47F8DAAC1}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt. aufgetreten ist.
Hat da einer eine Idee zu?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 382124
Url: https://administrator.de/contentid/382124
Printed on: April 20, 2024 at 07:04 o'clock
5 Comments
Latest comment
Hi.
Idee dazu: lass das bloß sein. Man nimmt keinen Domänenadmin zur Clientadministration, das ist ein großes Tabu.
Nimm das Systemkonto ("system").
Idee dazu: lass das bloß sein. Man nimmt keinen Domänenadmin zur Clientadministration, das ist ein großes Tabu.
Nimm das Systemkonto ("system").
Da gehe ich voll mit.
Es ist lediglich eine Übergangsphase (von ca. 3 Wochen) für den Rollout einer Software, welche im Außendienst via. USB Stick verteilt wird.
Der USB Stick bringt die benötigten Installationsdateien sowie ein selbst erstelltes Installationsscript mit.
Die Aufgaben via Aufgabenplanung stellen weitere Funktionen bereit, auf die das Script zugreifen muss.
Das Script wird automatisch mit den Adminrechten gestartet, weshalb ich in der Aufgabenplanung auch den Domänen-Admin hinterlegen muss.
Generell möchte ich auch gerne verstehen warum die GPO mit dieser Konfiguration nicht angewendet wird.
Es ist lediglich eine Übergangsphase (von ca. 3 Wochen) für den Rollout einer Software, welche im Außendienst via. USB Stick verteilt wird.
Der USB Stick bringt die benötigten Installationsdateien sowie ein selbst erstelltes Installationsscript mit.
Die Aufgaben via Aufgabenplanung stellen weitere Funktionen bereit, auf die das Script zugreifen muss.
Das Script wird automatisch mit den Adminrechten gestartet, weshalb ich in der Aufgabenplanung auch den Domänen-Admin hinterlegen muss.
Generell möchte ich auch gerne verstehen warum die GPO mit dieser Konfiguration nicht angewendet wird.
Moin,
Gruß,
Dani
Es ist lediglich eine Übergangsphase (von ca. 3 Wochen) für den Rollout einer Software, welche im Außendienst via. USB Stick verteilt wird.
Und wenn es nur für 1 Sekunde ist. Nie, nie, nie einen Domänen-Admin in Aufgabenplanungen, Administration von Clients, etc... nutzen. Dafür nimmt man speziell dafür eingerichtete Benutzer her.Das Script wird automatisch mit den Adminrechten gestartet, weshalb ich in der Aufgabenplanung auch den Domänen-Admin hinterlegen muss.
Ich würde es mit den Konto System versuchen. Hat auch entsprechende weitreichende Rechte - LocalSystem Account. Generell möchte ich auch gerne verstehen warum die GPO mit dieser Konfiguration nicht angewendet wird.
Das wird daran liegen, dass der Benutzer auf dem jeweiligen Gerät keine Aufgabe anlegen darf, weil er nicht genügend Rechte hat. Konfiguriere das Ganze unter Computereinstellungen und die Task wird problemlos angelegt.Gruß,
Dani
Hi,
Solltest Du da tatsächlich 1:1 "%DomainAdmin%" verwendet haben, dann kann das natürlich nicht funktionieren.
E.
"%domäne%\%DomainAdmin%"
Ich hoffe doch mal, dass das "%DomainAdmin%" hier nur ein Platzhalter für ein real existirendes Benutzerkonto ist, welches Mitglied der Gruppe "Domänen-Admins" ist?!Solltest Du da tatsächlich 1:1 "%DomainAdmin%" verwendet haben, dann kann das natürlich nicht funktionieren.
Das Benutzer " xxxx "-Einstellungselement im Gruppenrichtlinienobjekt " xxx {96B83783-65C9-4D25-BADC-B1A47F8DAAC1}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt. aufgetreten ist.
Diese Aufgabe erstellst Du aber unter "Computerkonfiguration" und nicht unter "Benutzerkonfiguration"?E.
Das Script wird automatisch mit den Adminrechten gestartet, weshalb ich in der Aufgabenplanung auch den Domänen-Admin hinterlegen muss.
Das ist nun wirklich Unsinn. Nimm das Systemkonto, das hat doch alle Rechte.
