Запуск задачи в планировщике заданий через gMSA

Question

Создал gMSA, в качестве УЗ передал ей группу с серверами DC, учетной записи gMSA выдал права Domain Admins, установил УЗ на сервере, подготовил скрипт powershell, создал задачу в планировщике заданий на DC, пытаюсь запустить её и получаю следующую ошибку:

Task Scheduler failed to start "\TASK" task for user "DOMAIN\ACCOUNTNAME$". Additional Data: Error Value: 2147943785.

Поскольку по подобной ошибке говорят на просторах интернета, что необходимо включить через политику "Log on as a batch job", сделал и это, но ничего не изменилось, ошибка та же, хотя права Domain Admins / Administrators должны подразумевать это право.

Может кто сталкивался с этой проблемой, знает, как её решить?

Answer 1

Здравствуйте,

Некоторые пишут, что еще в добавок надо изключить из - Administrative Tools -> Local Security Policy -> Local Policies -> User Rights Assignment -> Deny log on as a batch job, так как иногда еще туда включается пользователь.

---

Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

Answer 2

Добавляя в группу, проверял и этот параметр, его там нету, значение параметра пустое

Answer 3

Сейчас думаю, а как можно проверить, что УЗ gMSA действительно работает?

Через psexec не получается получить к ней доступ, выполняя команду
.\PsExec64.exe -i -u domain\gMSAAccount$ -p ~ cmd.exe

Выдаётся ошибка:
PsExec could not start cmd.exe on Server:
Logon failure: the user has not been granted the requested logon type at this computer

Процесс создания gMSA был таков:
1) New-ADGroup ServerGroup -path 'OU=Managed Service Accounts Groups,DC=domain,DC=loc' -GroupScope Global -PassThru -Verbose
2) Add-AdGroupMember -Identity ServerGroup -Members Server1, Server2, Server3
3) New-ADServiceAccount -Name gMSAAccount -DNSHostName gMSAAccount.domain.loc -PrincipalsAllowedToRetrieveManagedPassword gMSAAccount -verbose

Хотя при выполнении на сервере команды
Test-ADServiceAccount gMSAAccount

Ответ выдаётся "True"

Answer 4

Проверил всё то же самое, но в тестовой среде, там запускается через
.\PsExec64.exe -i -u domain\gMSAAccount$ -p ~ cmd.exe
CMD и там можно выполнять что-либо из под сервисной УЗ. Задания в том числе выполняются нормально.

=> походу ошибка в работе самой gMSA на этих контроллерах, но в чём проблема, пока так и не понял.

Answer 5

Насколько я понимаю ошибка выходит при несоответствии прав. Как вариант может попробовать обнулить DC политики по умолчанию через dcgpofix /target:both.

---

Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

Answer 6

Среда боевая, политик очень много, думаю, такой вариант не подходит :(

Может есть догадки, какие права стоит рассматривать?

gMSA на рабочей станции работает как положено, через PsExec запускается, whoami выдаёт УЗ gMSA, то есть дело не в ней, а что-то на контроллерах домена мешает...

Под доменным админом попробовал создать задание - не запускается из планировщика с той же ошибкой...

Answer 7

Вот еще, что удалось найти: Server 2012 R2 domain controller backup using Windows Server Backup with gMSA fails - Put gMSAs in the "Log on as a Service" node if using them in scheduled tasks to get around the "Error Value: 2147943785" issue.

---

Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

Answer 8

Это помогло!

Спасибо большое, находил только про Log on as a batch job, это помогало только для простых УЗ, а для сервисных, получается, в качестве службы нужно...

Answer 9

Отлично, рад был помочь!

---

Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.