Zaplanowane zadanie systemu Windows działa jako serviceAccount@domain.tld na serwerze 2008R2. Na lokalnym dysku serwera znajdują się pliki, których Joe Blow nie powinien widzieć. Joe Blow zna hasło serviceAccount. O ile mi wiadomo, serviceAccount nie ma żadnych uprawnień do serwera poza Logowaniem jako zadaniem wsadowym i członkostwem w lokalnej grupie użytkowników za pośrednictwem Domain Users. Czy Joe mógłby odczytać te pliki?
Jeśli tak, prawdopodobnie powinienem utworzyć kolejne konto usługi, aby uruchomić zadanie. Ale wolałbym uniknąć tego bałaganu, jeśli „Zaloguj się jako zadanie wsadowe” nie ujawnia plików.
Tytuł pytania może wprowadzać w błąd; Pytam, czy dołożyłem należytej staranności, ograniczając nieautoryzowany dostęp w tym konkretnym przypadku. Nie proszę o pomoc w czytaniu plików ... chociaż pytam, czy i jak pliki mogą zostać odczytane.
Odetchnąłem z ulgą, gdy Access Denied próbował użyć Enter-PSsession jako serviceAccount do utworzenia zdalnej sesji. Ale nie testowałem dużo dalej.
Serwer jest maszyną wirtualną VMware, ale pytam tutaj o poziom gościa, a nie o zabezpieczenia na poziomie hiperwizora.
edit Próbowałem zaplanować Zadanie na drugim serwerze, gdzie serviceAccount znajduje się w lokalnej grupie Administratorów. (To członkostwo nie było moją decyzją i wiem, że to zła praktyka.) Zadanie uruchamia test.cmd z zawartością:
dir \\firstServer\c$\ > C:\temp\out.txt 2>&1
Uruchomiłem zadanie jako serviceAccount i „Harmonogram zadań pomyślnie zakończony” z zawartością out.txt, 'Access is denied.'
- dobrze. Jako rodzaj testu kontrolnego uruchomiono to zadanie jako otherAdmin z prawami do obu serwerów, a plik out.txt zawierał listę katalogów z firstServer.
Może powinienem był zapytać: czy powinienem utworzyć nowe konto usługi, dla którego Joe Blow nie ma hasła? Czy to jest niepotrzebne?
Więcej o tym skomplikowanym scenariuszu tutaj .