Bonjour
 
Je souhaiterais savoir quelle est la bonne pratique pour la mise en place de tâche planifié dur des serveur de 2003 à 2012r2 .
Pour 2003 on oublie les gpp de mémoire mais pour le reste c est possible me semble !
Par contre je lis sur le net qu il faut pas stocker de mit de passe. Je vois que l astuce avec le compte authority nt \system est fournie et je voulais savoir si c était la bonne méthode ou si il faut tout faire via un script ?
 
Merci par avance.

mise en place manuelle ou script mais oui faut pas mettre de mdp en clair et utiliser system est une bonne ou mauvaise pratique en fn de ce que fait la tache.
Le compte system étant à haut privilège en local

La tâche lance un script pour récupérer les journaux d événement.
 
Oui j ai vu que le mot de passe est stocké dans le XML généré de manière crypte mais la clé de déchiffrement a été publié par Microsoft.
Manuelle ça pourrait être envisageable à la limite on a qu une dizaine de serveur environs mais bon j aime bien automatisé si jamais on rajoute un serveur demain il y aura rien à faire
 
Du cou système la c est gênant ou pas ?  
Sachant que c est un audit sur tous les serveurs donc DC y compris. Les évents récupérer sont ceux en local sur chaque serveurs. Pas de mise en place d abonnement car trop long temps d exécution du script sinon !  
 

si tu protèges bien ton script non ça gêne pas. Faut voir ce qu'il fait des évênements (genre envoi sur un autre serveur, faut que le compte machine ait les droits sur le share) et si de base il a les droits.
 
Tu peux automatiser via powershell ou via SCHTASKS

Les événement il fait un export csv sur un share.
 
Protéger mon script ? C est a dire ?

Si je crée un utilisateur audit par exemple, que je mets dans le groupe builtin\event reader et que je lance le script avec ce compte et que je donne les droits sur le share c'est bon aussi non ?
Il est utilisateur du domaine et membre de ce groupe uniquement.

C'est pas the best solution je suppose, mais le risque est bien plus faible qu'un compte admin du domaine xD

oui c'est bien.
 
Par protéger ton script je voulais dire t'assurer que personne puisse le modifier à part les admins.
Genre un "attaqueur" va ouvrir ton script, modifier ton script pour par exemple se donner des droits à son compte ou faire des actions non voulues puis ta tache planifiée se lance en compte systeme et a donc plein pouvoir et va donc exécuter ça tranquillement.

Personne à accès aux gpo sauf les admins et le script se trouve sur un share ou les utilisateurs ont accès qu en lecture donc à priori c est bien.
 
J ai essayé en créant un compte audit le mettre dans le built in event reader ça marche pas
J ai rajouter l autorisation d ouvrir une session en tant que tâche mais ça ne change rien non plus.
Je vais creuser aussi vite que possible !
 
Trip de choses en ce moment en scripts a faire mais faut que je finalise ça que ça fait 6 mois que ca traine et que la c est terminé au final manque juste qu à automatiser ça et la doc!

Donc, j'ai essayé avec mon compte, le paramétrage à l'air bon.
Il a fallu donné le droit ouvrir une session en tant que tache et mettre l'utilisateur dans reader logon mais ca ne fonctionne pas quand meme.
Dans mon script il récupére les event puis les envois sur un share.
Si j'essaye en administrateur, ca fonctionne.
Avec le compte crée, ca ne fonctionne pas.
Avec tache planifié pareil.
 
Il manque donc un droit je suppose au compte normal, mais je n'ai aucune erreur nulle part donc un peu compliqué de savoir à quel endroit.
Il me semble que pour lire la partie sécurité du journal d'évènement il faut des droits en plus.  
La connexion au share pas de raison que ca pose probleme puisque l'utilisateur à les droits.
 
Il faut que j'arrive a trouver d'ou vient le problème mais même si j'essaye d'ecrire juste un fichier avec bonjour sur le share ca ne fonctionne pas donc à priori il y a un problème !