everyoneや777はダメよ
ドメイン参加の各コンピューターに定期タスク(スケジューラ)がある。
タスクで実行されるプログラムはDC上の共有フォルダにあるファイルを参照する。
接続したドメイン管理者でタスクを作成したので、ドメイン管理者の権限で実行されるプログラムはDCの共有フォルダへアクセスできる。と・・当初は深く考えなかった。
後日、事情によりドメイン管理者のパスワードを変更した。
トラブル発生・・・各コンピューターの定期タスクが失敗になっている。
一次受け担当が共有フォルダに「everyone」を追加しようとした。
everyoneや777は慎重にねーと止めた。
そもそもタスクの実行ユーザをドメイン管理者にしたのがマズかった。
対応
タスクの実行ユーザをローカル管理者のSYSTEMに変更する。
-
1.DCの共有フォルダのセキュリティにSYSTEMを追加
(Active DirectoryのSYSTEMアカウントはドメイン参加のコンピュータのローカルSYSTEMで接続できる) -
2.各コンピューターのタスクを一括更新、GPOでタスクを作成
コンピューターの構成 → 基本設定 → コントローラパネルの設定 → タスク -
名前: (既存タスクと同じ名前で登録すると、上書きできる)
-
タスクの実行時に使うユーザ:NT AUTHORITY\System
参考