Discussion :

[__Templar]

Bonjour,

Je me permets de faire appel à votre aide, n'ayant pas réussi à trouver de réponse satisfaisante.
J'utilise une tâche planifiée pour lancer un script perl à l'ouverture
d'un compte utilisateur U1. Ce script lit et écrit des données dans des
fichiers de log.
Quand U1 a les droits d'accès au fichier de log, tout se passe bien.
J'aimerais maintenant interdire à U1 de pouvoir modifier lui même les fichiers générés par le script.

Pour cela, j'interdis les droits en écriture et modification pour U1 via les propriétés de sécurité du fichier.
Dans ma tâche planifiée, je coche "Exécuter avec les autorisations
maximales". (je n'ai pas de popup (type UAC) me demandant un mot de
passe = étrange)
Dans cette configuration mon script ne démarre pas (la tâche planifiée, elle, retourne le code (0x0) opération réussie).

J'ai aussi tenté de lancer on script via un raccourci vers un batch
dont j'ai modifié les privilèges d'exécution (Exécuter en tant
qu'admin).
Là encore, je suis surpris de ne pas devoir entrer un mot de passe
admin lors de la modification de la propriété de sécurité, ou voir
l'UAC s'ouvrir à l'ouverture de la session U1.

D'où ma question: comment lancer une tâche planifiée à l'ouverture de la session de U1 avec des droits
d'écriture sur des fichiers auxquels U1 n'a pas de droit d'accès.

Merci d'avance pour votre aide.

[JML19]

Bonsoir

Avec Runas utilise un profil administrateur ou qui a les droits dont tu veux disposer dans un Batch. (ICI)

[SkyZoThreaD]

Dans ma tâche planifiée, je coche "Exécuter avec les autorisations maximales"

Et est-ce que tu renseignes bien "Utiliser le compte d'utilisateur suivant pour exécuter cette tâche" ?
Les autorisations système et les droits d'accès (acl) sont deux choses différentes.
Tu dois donc donner explicitement les droits à un user sur le fichier et utiliser ce même user pour la tâche.
Pense aussi à cocher "Exécuter même si l'utilisateur n'est pas connecté". Il te demandera le mot de passe à ce moment là.

[__Templar]

Merci pour vos suggestions et désolé de ne pas avoir fait de retour plus tôt en raisons de pb de santé.
@jml19: j'avais déjà tenté la commande runas, mais à l'exécution du script lors de l'ouverture de la session de U1, une fenêtre s'ouvre pour demander le mot de passe admin.... que je ne veux pas donner à U1 ! (je ne veux pas non plus intervenir pour entrer le mot de passe moi même à chaque ouverture de session de U1).

@SkyZoThreaD: également déjà tenté. Quand j'ouvre la session U1, je vois bien le processus perl avec admin comme propriétaire, mais le script perl lance un GUI qui doit être visible de U1, ce qui n'est pas le cas. En fait il faudrait que dans le planificateur de tâche, je puisse faire l'équivalent d'un lancement du script en tant qu'admin depuis la session U1. Avec la solution proposée, le script est lancé à l'ouverture de la session U1 mais depuis une "session" admin.
(Je connais bien les notions de droit d'accès / droits utilisateurs. C'est leur mise en oeuvre au travers du planificateur de tâche de Win qui me pose problème).

Le problème reste donc non résolu. Si vous avez d'autres idées je suis toujours preneur. Merci.

[__Templar]

Bonsoir

Avec Runas utilise un profil administrateur ou qui a les droits dont tu veux disposer dans un Batch. (ICI)

Finalement, en creusant la solution runas avec /savecred, je suis parvenu à mes fins.

Merci.

[__Templar]

Bonjour,

Finalement, cette solution n'est pas satisfaisante puisque l'utilisateur peut lancer un runas dans une autre fenêtre sans avoir besoin de mot de passe. Il peut donc accéder aux logs auxquels il ne devrait pas accéder.
Après de nombreuse heures de recherche, il semble qu'il soit impossible à un user de lancer une tâche avec les autorisations maximales si cette tâche est interactive (dans mon cas une interface graphique).
Donc ma question reste posée: comment créer une tâche avec des droits admins (pour avoir des droits en écriture sur des fichiers) depuis un compte user qui n'a pas de droit sur ces fichiers. S'il s'avère que c'est vraiment impossible, quel est l'alternative ? Créer un service avec lequel mon GUI pourra interagir ? J'avoue que j'ignore comment mettre cela en oeuvre mais j'ai vu cette suggestion sur un forum étranger.

Merci d'avance.