Beschreibung
diese Kurzbeschreibung soll die notwendigen Punkte aufzeigen, was ein AD Service Account benötigt um auf einem Exchange System Report Tasks ausführen zu können.
Hintergrund: per Aufgabenplanung soll via Script ein Report erstellt werden.
Schritte - Lokales System:
- Öffnen Sie die MMC mit administrativen Rechten und fügen Sie das Snapin ein: "Richtlininen für Lokaler Computer"
ALERNATIV: Öffnen Sie die gpedit.msc über START > Ausführen - Navigieren Sie in das Verzeichnis: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten
- Öffnen Sie die Richtlinie: Anmelden als Stapelverarbeitungsrauftrag Fügen Sie den User hinzu, der dieses Recht auf erhalten/ausüben soll.
- Klicken Sie auf OK und Schließen Sie die MMC.
Schritte - AD Umgebung:
- Erstellen Sie eine Sicherheitsgruppe mit einer eindutigen Bezeichnung: Bsp.: sec-service-tasks01
- Fügen Sie die gewünschten Mschinen der Gruppe hinzu auf dennen diese Richtline zugewiesen werden soll. Bsp. labsrv05
- Erstellen Sie eine neue GPO mit einem eindutigen Namen und bearbeiten diese.
- Navigieren Sie in das Verzeichnis:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten - Öffnen Sie die Richtlinie: Anmelden als Stapelverarbeitungsrauftrag Fügen Sie den User hinzu, der dieses Recht auf erhalten/ausüben soll. Bsp. svc_MrBatch
- Schließen Sie die Bearbeitung der GPO und weisen Sie diese der zuvor erstellten AD Gruppe hinzu.
HINWEIS: Bei der Verarbeitung darauf achten, dass die neue Sicherheitsgruppe (Lesen, Gruppenrichtlinie übernehmen) und nicht die Authentifizieren User (Lesen) die verwenden dürfen! - Die Neue GPO auf die OU zuweisen, in der sich die Zielmaschine befindet.
Wen Sie die oben genannten Schritte durchgeführt haben, wurde ein AD Service Konto mit dem Recht der Stapelverarbeitung für diverse Tasks ausgestattet.
Quelle: https://www.tech-faq.net/anmelden-als-stapelverarbeitungsauftrag