私の目標は、管理者特権を必要とするnetshスクリプトを実行できるように限定された人に使用することです。
netsh wlan stop hostednetwork
netsh wlan start hostednetwork
管理者アカウントから、昇格した特権でこのスクリプトを実行するタスクスケジューラタスクを作成し、管理者パスワードを保存しました。動いた。ただし、タスクは制限されたユーザーアカウントからは表示されません。
限られたユーザーのタスクスケジューラから同じタスクを作成しようとしましたが、実行されませんでした。ユーザーにタスクを作成する権限がないと言われました。
制限されたユーザーからschtasks.exeを試しましたが、実行したいタスクも表示されません。
管理アカウントから作成したタスクを制限付きユーザーと共有して、オンデマンドで実行できるようにする方法はありますか?または、自分でタスクを作成する特権を彼に与えますか?
回答:
C:\ Windows \ System32 \ Tasksに移動して関連タスクを見つけ、アクセスできるようにするユーザーに「読み取りおよび実行」権限を割り当てます。「現在のオブジェクトのみ」に必ず割り当ててください。その後、タスクは制限されたユーザーから表示および実行可能になり、資格情報を保存して「ユーザーがログオンしているかどうかにかかわらず実行」にチェックを入れると機能します。
ええ、それはひどい問題です。選択した回答が機能しなくなりました。私は回避策としてイベントログを使用しています:
タスクの「イベントで」トリガーを登録します。たとえば、「アプリケーション」、「アプリケーション」、30204(このタスクのマジックナンバー)
このIDでイベントを記録します。コマンドライン/バッチからそれを行うために、ダミーの3行の.Netコンソールアプリを作成しました。
using (var eventLog = new EventLog("Application"))
{
eventLog.Source = "Application";
eventLog.WriteEntry("EventLogTriggeer", EventLogEntryType.Information, int.Parse(args[0]));
}私の場合、ステージング環境での自動展開のセキュリティを解決しました。GitHubは、フォルダーへのr / oアクセス権を持つIIS AppPool Identityの下で実行されるnode.jsバックエンドにPOSTリクエストを行います。ハッシュ署名を検証し、次を実行します。
// delegate to priviledged task
exec('%SystemDrive%\\apps\\EventLogTrigger 30204', (err, stdout, stderr)=> /* ... */);残りの部分は、inetpubのファイルを変更する権限を持つユーザーの下で展開スクリプトを実行するスケジュールされたタスクを介して行われます。タスクは、各サーバーおよびそれらの各Webサイトに対して個別に構成されているため、パスはハードコーディングされています。
C:\inetpub\ta\autodeploy.cmd
startコマンドとは異なり、コマンドにはstop管理者特権は必要ありません。