Windows 安全:用户是否只能使用‘作为批处理作业登录’来读取本地文件?

Windows 安全:用户是否只能使用‘作为批处理作业登录’来读取本地文件?

Windows 计划任务运行为[电子邮件保护]在 2008R2 服务器上。服务器的本地磁盘上有一些 Joe Blow 不应该看到的文件。Joe Blow 知道服务帐户密码。据我所知,服务帐户没有其他服务器权限作为批处理作业登录以及通过域用户访问的本地用户组成员资格。Joe 可以读取这些文件吗?

如果是这样,我可能应该创建另一个服务帐户来运行该任务。但如果“以批处理作业身份登录”不会显示文件,我更愿意避免这种混乱。

问题标题可能具有误导性;我是在询问我是否已尽职尽责地限制这种特殊情况下的未经授权的访问。我不是在寻求读取文件的帮助……尽管我是在询问是否可以读取文件以及如何读取文件。

当我尝试使用 Enter-PSsession 作为 serviceAccount 创建远程会话时,访问被拒绝,这让我松了一口气。但我没有进行进一步的测试。

该服务器是 VMware 虚拟机,但我在这里询问的是客户级而不是虚拟机管理程序级的安全性。

编辑 我尝试在第二台服务器上安排任务,其中 serviceAccount 位于本地管理员组中。(该成员资格不是我的决定,我知道这是不好的做法。)该任务运行 test.cmd,内容如下:

dir \\firstServer\c$\ > C:\temp\out.txt 2>&1

以 serviceAccount 身份运行任务,out.txt 内容显示“任务计划程序已成功完成”,'Access is denied.'很好。作为一种控制测试,以对两台服务器均具有权限的 otherAdmin 身份运行任务,out.txt 包含 firstServer 的目录列表。

所以也许我应该问:我是否应该创建一个 Joe Blow 没有密码的新服务帐户?或者这没有必要?

关于这一复杂情况的更多信息这里

答案1

如果 Joe 创建了批处理作业,将其设置为以该用户身份登录,并让该批处理作业读取该数据并以某种方式将其发送给他,那么他就可以读取这些文件。或者,如果他操纵现有的批处理作业以某种方式读取该数据。

答案2

我假设 Joe Blow 不是管理员,因此无法创建计划任务。如果是这种情况,请将文件的 NTFS 权限设置为仅允许“管理员”和“BATCH”内置组读取该文件。“BATCH”包括当前通过批处理模式登录的用户。批处理模式仅适用于计划任务。您不能仅通过创建 .BAT 文件就通过批处理模式登录,因此这应该适合您的目的。该文件只能由管理员和通过计划任务登录的帐户读取。

相关内容