我正在尝试远程监控 Windows 服务器(域控制器)上的计划任务和服务(来自不同的域);我们计划为这部分实施最低要求的委派模型;我尝试了多种选择,但只有一种可行的方法是将服务帐户添加到“管理员”组,但这并不理想。我还能如何以最低委派实现这一点?需要实施以下任务。
-> 通过“schtasks”或 powershell 命令读取计划任务。-> 使用 WMI 或 powershell 命令获取 AD 服务。
如果需要任何额外信息,请随时告诉我。
答案1
一些出售的解决方案可能不会为其预构建的监视器提供太多灵活性。但如果您致力于在没有管理员权限的情况下进行监控的目标并且具有一定的灵活性,您应该能够通过阅读 TaskScheduler 事件日志来被动地监控计划任务的结果。这可以由具有该Event Log Readers组成员资格的非管理员用户完成。它是每个成员服务器上的本地组,或 DC 日志的域本地组。Applications and Services Logs / Microsoft / Windows / TaskScheduler / Operational
如果您的监视器需要管理员权限才能进行监视,您可以将其添加到管理员,并通过部署策略来拒绝该帐户的本地登录,从而在一定程度上缓解这种情况。