Spooner
24-04-2009, 12:01
Бывает, необходимо установить какую-нибудь службу через GPO при запуске системы, или вообще что-либо с административными правами при входу в систему пользователя с ограниченными правами.
При этом мы не имеем моральных прав компрометировать пароль учетной записи администратора, вводя его в тело любого .cmd-файла.
Решение следующее.
1. Выбираем нужную политику в консоли GPO
2. Входим в "Конфигурация пользователя" -> "Конфигурация Windows" -> "Сценарии (вход/выход из системы)" -> "Вход в систему"
3. Нажимаем кнопку "Добавить"
4. Добавляем файл (имя сценярия) cmd.cmd, содержание которого состоит всего лишь из: "@cmd.exe /c %1 %2 %3 %4 %5 %6 %7", при этом cmd.cmd должен находиться в папке исполняющейся политики на сервере.
5. В "Параметры сценария" вводим: "echo ADMIN_PASSWORD | runas /netonly /user:DOMAIN\ADMINACCOUNT &\\DOMAIN_ROOT\NETLOGON\bb4\script.cmd". Прошу обратить внимание на значок &. Он требуется для того, что бы пароль учетной записи с административными правами передавался не в конец строки скрипту, а команде runas. При этом решении пароль администраторской учетной записи хранится в реестре сервера.
При этом мы не имеем моральных прав компрометировать пароль учетной записи администратора, вводя его в тело любого .cmd-файла.
Решение следующее.
1. Выбираем нужную политику в консоли GPO
2. Входим в "Конфигурация пользователя" -> "Конфигурация Windows" -> "Сценарии (вход/выход из системы)" -> "Вход в систему"
3. Нажимаем кнопку "Добавить"
4. Добавляем файл (имя сценярия) cmd.cmd, содержание которого состоит всего лишь из: "@cmd.exe /c %1 %2 %3 %4 %5 %6 %7", при этом cmd.cmd должен находиться в папке исполняющейся политики на сервере.
5. В "Параметры сценария" вводим: "echo ADMIN_PASSWORD | runas /netonly /user:DOMAIN\ADMINACCOUNT &\\DOMAIN_ROOT\NETLOGON\bb4\script.cmd". Прошу обратить внимание на значок &. Он требуется для того, что бы пароль учетной записи с административными правами передавался не в конец строки скрипту, а команде runas. При этом решении пароль администраторской учетной записи хранится в реестре сервера.