Моя запланированная задача по запуску MpCmdRun.exe работает с одним набором флагов, но не с другим (выдает ошибку 0x2 «Файл не найден»)

Моя запланированная задача по запуску MpCmdRun.exe работает с одним набором флагов, но не с другим (выдает ошибку 0x2 «Файл не найден»)

У меня есть объект групповой политики, который назначает моим рабочим станциям Win10 две запланированные задачи.

Задача 1 запускает C:\Program Files\Windows Defender\MpCmdRun.exe -removedefinitions -dynamicsignatures

Задание 1

Задача два запускает C:\Program Files\Windows Defender\MpCmdRun.exe -SignatureUpdate

Задание 2

Оба запускаются с правами SYSTEM с наивысшими привилегиями и независимо от того, вошел ли пользователь в систему или нет: Настройки безопасности

Рабочие станции успешно получают обе задачи из этого GPO. Задача 1 выполняется на несколько минут раньше задачи 2 — они связаны и должны выполняться в указанном порядке, но задача 1 фактически выполняется до завершения примерно за 30 секунд.

Все рабочие станции успешно выполняют задачу 1, выбивая определения из колеи.

Однако рабочие станции не справляются с задачей 2, если предоставить их самим себе.

Задача 2 настроена на запуск от имени системы независимо от того, вошли ли люди в систему или нет — как и задача 1. Однако, если я просто запланирую ее на некоторое случайное время (а я пробовал много раз), запланированная задача всегда будет запускаться и останавливаться в течение 1 секунды с кодом ошибки 0x2 — что означает Файл не найден. В истории задач на случайной рабочей станции я иногда обнаруживаю запись с указанием «кода возврата 2147942402» — что означаеттакже"Файл не найден".

Это сбивает с толку, поскольку рассматриваемый файл точно такой же, как и в Задаче 1, которая не возвращает код ошибки.

Теперь, если на той же неисправной рабочей станции я щелкну правой кнопкой мыши задачу и нажму «Выполнить», они обе успешно завершатся. Запуск команд вручную также работает. Кроме того, если я запланирую точно такую ​​же задачу на некоторое время в течение дня и останусь в системе рабочей станции-образца (или рабочих станций) в то время, когда запланированные задачи должны начаться, они фактически будут успешно выполняться без взаимодействия с пользователем!

Так что если никто не смотрит, то задача 2 не запустится, но если кто-то запустит ее вручную ИЛИ просто окажется в системе, она запустится. Она делает это, несмотря на то, что обе задачи СИСТЕМНЫЕ и им разрешено выполнять их независимо от того, вошел кто-то в систему или нет.

Я в замешательстве на этом этапе, поскольку единственное различие между двумя задачами — это некоторые флаги. То, что она вообще запускается, указывает на то, что задача настроена правильно, но все равно только одна из них запустится без входа в систему.

Есть ли у кого-нибудь какие-то наводки, на которые я могу опереться в этом вопросе?

решение1

Я не могу сказать конкретно, что именно он не находит, только как это, скорее всего, найти. Если приложение правильно передает ошибку 2 (которая иногда может быть замаскированной ошибкой 5/53/4/другой), я бы использовал procmon из sysinternalshttps://learn.microsoft.com/en-us/sysinternals/downloads/procmonпозвольте неудачной задаче работать и отфильтруйте процесс по имени вашего процесса, просмотрите все события файла и посмотрите, что было предпринято, а что не удалось. Thst dhoufl sat по крайней мере направит вас к дополнительной информации, если не к ответу.

Связанный контент