Windows Scheduled Task在2008R2服务器上作为[email protected]运行。 服务器的本地磁盘有一些Joe Blow不应该看到的文件。 Joe Blow知道serviceAccount密码。 据我所知,除了作为批处理作业login之外,serviceAccount没有服务器权限,而且通过Domain Users有本地用户组成员身份。 乔可以阅读这些文件吗?
如果是这样,我应该可能创build另一个服务帐户来运行任务。 但是,如果“作为批处理login”不公开文件,我宁愿避免这种混乱。
问题的标题可能是误导性的; 我在问,在这个特殊情况下,我是否做了限制未经授权访问的尽职调查。 我不是在寻求帮助阅读文件…虽然我问是否以及如何读取文件。
获得拒绝访问尝试使用Enter-PSsession作为serviceAccount来创build远程会话,我感到欣慰。 但是我还没有进一步的testing。
该服务器是一个VMware虚拟机,但我在这里要求的是访客级别,而不是pipe理程序级别的安全性。
编辑我试图在第二台服务器上安排一个任务,其中serviceAccount在本地pipe理员组。 (该成员不是我的决定,我知道这是不好的做法。)任务运行test.cmd与内容:
dir \\firstServer\c$\ > C:\temp\out.txt 2>&1 将任务作为serviceAccount和“任务计划程序成功完成”out.txt内容, 'Access is denied.' – 很好。 作为一种控制testing,将任务作为其他有两个服务器的权限运行,out.txt包含来自firstServer的目录列表。
所以也许我应该问:我应该创build一个新的服务帐户,乔·布洛没有密码? 或者是不必要的?
更多关于这个复杂的情况在这里 。
Joe可以读取这些文件,如果他创build了一个批处理作业,设置它作为该用户login,并使该批处理作业读取数据,并以某种方式将其发送给他。 或者,如果他操纵现有的批处理作业以某种方式读取数据。
我认为Joe Blow不是pipe理员,因此无法创build计划任务。 如果是这种情况,请在文件上设置NTFS权限,仅允许“Administrators”和“BATCH”内置组读取文件。 “BATCH”包括当前通过批处理模式login的用户。 批处理模式仅适用于计划任务。 您不能通过创build.BAT文件通过批处理模式login,所以这应该适合您的目的。 该文件只能通过计划任务login的pipe理员和账户读取。