none
Запуск задачи в планировщике заданий через gMSA RRS feed

  • Вопрос

  • Создал gMSA, в качестве УЗ передал ей группу с серверами DC, учетной записи gMSA выдал права Domain Admins, установил УЗ на сервере, подготовил скрипт powershell, создал задачу в планировщике заданий на DC, пытаюсь запустить её и получаю следующую ошибку:

    Task Scheduler failed to start "\TASK" task for user "DOMAIN\ACCOUNTNAME$". Additional Data: Error Value: 2147943785.

    Поскольку по подобной ошибке говорят на просторах интернета, что необходимо включить через политику "Log on as a batch job", сделал и это, но ничего не изменилось, ошибка та же, хотя права Domain Admins / Administrators должны подразумевать это право.

    Может кто сталкивался с этой проблемой, знает, как её решить?

    28 июня 2022 г. 20:20

Ответы

  • Вот еще, что удалось найти: Server 2012 R2 domain controller backup using Windows Server Backup with gMSA fails - Put gMSAs in the "Log on as a Service" node if using them in scheduled tasks to get around the "Error Value: 2147943785" issue.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    • Помечено в качестве ответа StepTechNet 1 июля 2022 г. 7:01
    Модератор

Все ответы

  • Здравствуйте,

    Некоторые пишут, что еще в добавок надо изключить из - Administrative Tools -> Local Security Policy -> Local Policies -> User Rights Assignment -> Deny log on as a batch job, так как иногда еще туда включается пользователь.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    29 июня 2022 г. 7:37
    Модератор
  • Добавляя в группу, проверял и этот параметр, его там нету, значение параметра пустое
    29 июня 2022 г. 13:51
  • Сейчас думаю, а как можно проверить, что УЗ gMSA действительно работает?

    Через psexec не получается получить к ней доступ, выполняя команду
    .\PsExec64.exe -i -u domain\gMSAAccount$ -p ~ cmd.exe

    Выдаётся ошибка:
    PsExec could not start cmd.exe on Server:
    Logon failure: the user has not been granted the requested logon type at this computer

    Процесс создания gMSA был таков:
    1) New-ADGroup ServerGroup -path 'OU=Managed Service Accounts Groups,DC=domain,DC=loc' -GroupScope Global -PassThru -Verbose
    2) Add-AdGroupMember -Identity ServerGroup -Members Server1, Server2, Server3
    3) New-ADServiceAccount -Name gMSAAccount -DNSHostName gMSAAccount.domain.loc -PrincipalsAllowedToRetrieveManagedPassword gMSAAccount -verbose

    Хотя при выполнении на сервере команды
    Test-ADServiceAccount gMSAAccount

    Ответ выдаётся "True"



    • Изменено StepTechNet 29 июня 2022 г. 14:19
    29 июня 2022 г. 14:18
  • Проверил всё то же самое, но в тестовой среде, там запускается через
    .\PsExec64.exe -i -u domain\gMSAAccount$ -p ~ cmd.exe
    CMD и там можно выполнять что-либо из под сервисной УЗ. Задания в том числе выполняются нормально.

    => походу ошибка в работе самой gMSA на этих контроллерах, но в чём проблема, пока так и не понял.

    30 июня 2022 г. 7:14
  • Насколько я понимаю ошибка выходит при несоответствии прав. Как вариант может попробовать обнулить DC политики по умолчанию через dcgpofix /target:both.



    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    30 июня 2022 г. 13:25
    Модератор
  • Среда боевая, политик очень много, думаю, такой вариант не подходит :(

    Может есть догадки, какие права стоит рассматривать?

    gMSA на рабочей станции работает как положено, через PsExec запускается, whoami выдаёт УЗ gMSA, то есть дело не в ней, а что-то на контроллерах домена мешает...

    Под доменным админом попробовал создать задание - не запускается из планировщика с той же ошибкой...
    • Изменено StepTechNet 30 июня 2022 г. 19:30
    30 июня 2022 г. 19:29
  • Вот еще, что удалось найти: Server 2012 R2 domain controller backup using Windows Server Backup with gMSA fails - Put gMSAs in the "Log on as a Service" node if using them in scheduled tasks to get around the "Error Value: 2147943785" issue.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    • Помечено в качестве ответа StepTechNet 1 июля 2022 г. 7:01
    Модератор
  • Это помогло!

    Спасибо большое, находил только про Log on as a batch job, это помогало только для простых УЗ, а для сервисных, получается, в качестве службы нужно...


    • Изменено StepTechNet 1 июля 2022 г. 8:06
  • Отлично, рад был помочь!

    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    Модератор