Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Zajímavá rychlovka - naplánovaná úloha bez hesla
září 18
Zajímavá rychlovka - naplánovaná úloha bez hesla

Možná jste si toho ještě nevšimli, ale naplánované úlohy, od Windows Vista (rok 2006!) a Windows 2008 mohou běžet pod nějakým uživatelským účtem a přitom pro ně nemusíte ukládat heslo. Viz. následující obrázek - zaškrtávátko Do not store password. The taks will only have access to local computer resources:

Proč je to dobré? Není potom možné to heslo ukrást. Nemusíte se tedy u servisního účtu naplánované úlohy zbytečně trápit s blokováním jejího přihlašování na okolní počítače. Prostě poběží jenom tam, a přitom nikdo její heslo do sítě nezjistí.

Potřebujete k tomu jenom ještě jednu věc - používá to Kerberos rozšíření S4U, takže počítačový účet musí být členem skupiny Windows Authorization Access Group v Active Directory. Jde o možnost pro něho číst atribut tokenGroupsGlobalAndUniversal - podobně jako při Kerberos delegaci tady a tady a nebo obecněji tady.

Ještě doplňme, že výraz The taks will only have access to local computer resources musíte brát s rezervou. Když třeba na tom stroji běží SharePoint web front end, naplánovaná úloha se může vůči němu lokálně ověřit. Protože do dat v databázi chodí už potom sám SharePoint a nikoliv přes síť ten účet naplánované úlohy. Takže se to "v podstatě" dostane i k datům, ležícím na vzdáleném databázovém serveru. Ale jen nepřímo, samozřejmě.

Comments

Re: Zajímavá rychlovka - naplánovaná úloha bez hesla

Aha, to jsem taky neznal. Čili ono si to převezme token příslušnýho uživatele. Ale protože nemá povolenou delegaci, tak se samozřejmě nedostane (přímo) nikam na síť, to je logický. A kdybych teoreticky delegaci zapnul, bude to umět, nebo se s tím nepočítá? Ne že bych to chtěl dělat.
Borek on 20.9.2014 16:21

Re: Zajímavá rychlovka - naplánovaná úloha bez hesla

a) ano, to je kvůli tomu, aby se z toho nedala vykrást hesla, se kterýma by se dalo přihlásit do sítě na jakýkoliv počítač, aniž by to bylo složitě omezeno. Omezit přihlašování do sítě je prakticky velmi složité – viz. můj článek o „Logon Workstations“ (http://www.sevecek.com/Lists/Posts/Post.aspx?ID=388) – lze omezit interaktivní přihlášení, ale nikoliv síťové, takže ten účet se dá používat po síti (například RUNAS /NETONLY) – viz. dnešní článeček.
b) ano, delegace by to povolila. To je dokonce velmi dobrý nápad, jak o tom uvažuju. Nepřemýšlel jsem, že bych té úloze to přihlašování chtěl explicitně někam povolit. Ale to je přesně ono! Týjo, to je fakt dobrý příklad. Precizně to povolíš do sítě jen pro jednu cílovou službu. Parádička.
ondass on 22.9.2014 8:21

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments