Ich habe ein PowerShell-Skript geschrieben, um einen Vergleich geplanter Aufgaben zwischen zwei Knoten unseres Anwendungsserverclusters durchzuführen. Es verwendet diesen Code, um die Aufgaben von einem bestimmten Server abzufragen...
function getTasks($server) {
return Get-ScheduledTask -CimSession $server |
Where-Object TaskPath -like '*OurFolder*' |
ForEach-Object {
[pscustomobject]@{
Server = $server
Path = $_.TaskPath
Name = $_.TaskName
Disabled = ($_.State -eq 'Disabled')
Command = $_.Actions.Execute
Arguments = $_.Actions.Arguments
Interval = $_.Triggers.RepetitionInterval
HashId = "$($_.Actions.Execute)|$($_.Actions.Arguments)"
HashFull = "$($_.TaskPath)|$($_.TaskName)|$($_.Actions.Execute)|$($_.Actions.Arguments)|$(($_.State -eq 'Disabled'))"
}
}
}
Es funktioniert perfekt, wenn es unter meinem Domänenadministratorkonto ausgeführt wird.
Wenn ich jedoch versuche, es unter unserem Dienstkonto als geplante Aufgabe auszuführen, wird dieser Fehler angezeigt, wenn ich versuche, die geplanten Aufgaben auf dem anderen Knoten abzufragen ...
Get-ScheduledTask : SERVER.domain.local: Cannot connect to CIM server. Access is denied.
At F:\Applications\TaskSchedulerNodeCompare\compare-nodes.ps1:9 char:12
+ return Get-ScheduledTask -CimSession $server |
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (MSFT_ScheduledTask:String) [Get-ScheduledTask], CimJobException
+ FullyQualifiedErrorId : CimJob_BrokenCimSession,Get-ScheduledTask
Googeln und sich umsehenSIEHT AUSDie einzige Möglichkeit, einem Konto Zugriff auf diese Liste zu gewähren, wäre, es zu den lokalen Administratoren auf dem betreffenden Server hinzuzufügen. Aber es fühlt sich nicht richtig an, unser Servicekonto als lokalen Administrator einrichten zu müssen, und wir möchten die Aufgabe natürlich nicht unter meinem Domänenadministratorkonto ausführen lassen.
ich habe es versuchtLösung Nr. 3 hier, welcheGeräuscheals ob es das wäre...
1. As an Administrator of the server, go to Server Manager -> Tools -> Computer Management. On the left expand "Services and Applications" and right click "WMI Control". Go to "Properties".
2. In the newly open Window, click on Security tab.
3. Expand Root tree, and then click on the node CIMV2, and click the button security
4. In the newly open Window, click the button Advanced.
5. In the newly open Window, click the button Add under the permission tab.
6. In the newly open Window, click on “select a principal", then search for the user you that was having the problem.
7. In the applies to, choose “this namespace and subnamespace".
8. For the permission, check on “Execute Methods", “Enable Accounts" and “Remote Enable"
9. Click accept on all the open dialogue boxes
10. Restart WMI services. As an Admininstrator of the server, go to Server Manager -> Tools -> Computer Management. On the left expand "Services and Applications" and click on "Services". Go to "Windows Management Instrumentation" and right click it. Then choose "Restart".
11. Try the command again. The above directions were adapted from this StackOverflow posting.
aber selbst nachdem Sie alle diese Schritte ausgeführt haben, funktioniert es immer noch nicht.
Wie kann ich unserem Servicekonto erlauben, die geplanten Aufgaben von unseren Servern (schreibgeschützt) abzufragen und dabei so sicherheitsbewusst wie möglich zu bleiben?
Antwort1
Soweit ich weiß, können geplante Aufgaben nur vom Ersteller oder einem Mitglied der lokalen Administratorgruppe gesehen werden. Ich bezweifle auch, dass eine funktionierende Lösung Aufgaben abdeckt, die nach dem Ändern der Berechtigungen für lokale Objekte oder Ähnlichem erstellt wurden.
Sehen Sie sich auch diese Frage/Antwort an, die sehr ähnlich zu sein scheint: Berechtigungen oder ACL für geplante Aufgaben