Intereting Posts
声明我自己的脚本来执行文件
LDAP / ActiveDirectory BindDN语法
在进行高风险的卸载之前,请将一个raid 1磁盘作为后备?
使用不同用户拥有的PHP删除文件
用于“ssh tail -f”风格日志文件监控和分析的最佳工具
我可以在ADnetworking中完全删除Windows DNS,转而使用BIND9吗?
无法写入OpenLDAP:“影子上下文; 没有更新推荐“
Debian上的nginx的PHP-FPM
在web主机中找不到`find`命令,如何使用其他命令实现基于修改时间的删除?
XenServer的32位颜色
尝试安装已安装MariaDB的PHP MySQL驱动程序
阻止雅虎杂乱
Dynamics CRM 2013 – 创build关系以允许工作stream程比较两个实体之间的值
DNS:世界如何find我的名字服务器?
使用EIP(基本EC2)在AWS EC2中设置HAProxy / Keepalived vrrp
服务帐户在服务器上运行计划任务所需的最低访问级别?
我们在Active Directory中有两个域pipe理员帐户:“pipe理员”和“Robocopy”。
Robocopy是一个与计划任务相关联的服务帐户,该任务执行一个batch file – 运行Robocopy(在我们的SBS 2003文件服务器/域控制器上)。
这个帐户在几年前创build时是“域pipe理员”组的成员,原因是我无法在“计划任务”中分配非域pipe理员帐户来在服务器上运行batch file。
我现在想尽可能地限制“Robocopy”帐户,包括拒绝networking访问,以便它不能用于login到服务器以外的任何地方。
至less,我打算从“域pipe理员”组中删除“Robocopy”帐户。
什么是实现这一目标的最佳实践方法?
更新:
可以使用这些默认安全组中的任何一个来实现我想要的吗?
默认域控制器组策略对象(GPO)中的安全策略不允许非特权用户在域控制器(DC)计算机上以交互方式或作为批处理作业(这是计划任务的运行方式)进行login。 您在使这个帐户非特权(这是一个好主意)的第一个问题是要修改安全策略。
您的cmd.exe权限也可能需要更改,因为在Windows 2003中非pipe理员用户被禁止以非交互方式执行脚本。
一旦你注意到了这一点,你还需要弄清楚,确保运行robocopy的用户帐户实际上有权读取和写入源和目标位置。 既然这个账户在过去是有特权的,那么你并不需要担心。