Geplante Windows-Aufgabe: Welche Mindestbenutzerrechte sind für die Aufgabe erforderlich?

12

Im Moment habe ich eine Aufgabe, die so konfiguriert ist, dass sie als Benutzer "automatictask" ausgeführt wird.

Die Task wird jedoch nicht ausgeführt, "Start nicht möglich" wird angezeigt.

Wenn ich diesen Benutzer zur Gruppe Administratoren hinzufüge, wird die Aufgabe ordnungsgemäß ausgeführt.

Aber im wirklichen Leben .... Ich möchte, dass dieser Benutzer SUPER eingeschränkt ist .... NUR in der Lage ist, diese Aufgabe auszuführen, keine Anmelderechte, keine anderen Dateisystemrechte als die einer Batch-Datei ....

Ich habe hoch und niedrig nach einem Dokument gesucht, das besagt, dass "hier der einfachste Benutzer ist, der eine Aufgabe ausführen kann" ....

Es scheint kein solches Dokument zu geben!

Vorschläge?

Vielen Dank!

Jonesome setzt Monica wieder ein
quelle

Antworten:

13

Abgesehen von den Dateisystemberechtigungen müssen Sie dies zulassen Log on as a batch job. Hiermit wird gesteuert, wie die Sitzung für eine geplante Aufgabe erstellt werden kann.

Der Aufgabenplaner sollte den Benutzer beim Erstellen der Aufgabe in diese Zulassungsliste aufnehmen. Sie können dies mit dem Tool Lokale Sicherheitsrichtlinie bestätigen. Die andere Möglichkeit besteht darin, dass die Konfiguration über eine Gruppenrichtlinie erfolgt. In diesem Fall müssen Sie einige Schritte in der resultierenden Richtliniengruppe ausführen und das zu ändernde Gruppenrichtlinienobjekt ermitteln.


Hier ist die andere Sache: Überprüfen Sie die Berechtigungen auf c:\windows\system32\cmd.exe. Sie sind irre. Wenn Sie den Benutzer aus der UsersGruppe entfernt haben, kann cmd.exe nicht standardmäßig ausgeführt werden. Dies macht in der Regel einen großen Teil der Ausführung einer Batchdatei aus. Fügen Sie den Benutzer mit read / execute zu dieser ACL hinzu. Überprüfen Sie alle ausführbaren Dateien, die die Batchdatei berühren muss.

Shane Madden
quelle
-2

Wie wäre es mit der Gewährung der folgenden Richtlinien:

  • Lokale Anmeldung zulassen
  • Handle als Teil des Betriebssystems
  • Passen Sie die Speicherkontingente für einen bestimmten Zeitraum an
  • Überprüfung der Bypass-Überquerung
  • Seiten im Speicher sperren
  • Melden Sie sich als Batch-Job an
  • Melden Sie sich als Dienst an
  • Führen Sie Volume-Wartungsaufgaben aus
  • Ersetzen Sie ein Token auf Prozessebene

Lesen Sie mehr: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9

Leitender Systemingenieur
quelle
4
Das OP möchte, dass "dieser Benutzer SUPER eingeschränkt wird". Die oben aufgeführten Rechte sind so ziemlich das Gegenteil davon. Act as part of the operating systemErmöglicht dem Benutzer beispielsweise, "die Identität eines Benutzers anzunehmen und dadurch Zugriff auf die Ressourcen zu erhalten, auf die der Benutzer zugreifen darf " docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance taskswürde es dem Benutzer ermöglichen, die gesamte Festplatte und alle möglichen anderen schrecklichen Dinge zu löschen.
Daniel Schilling
Ich habe gezögert, diese Antwort abzustimmen, aber ehrlich gesagt ist diese Liste von Berechtigungen so viel schlimmer, als Administratoren Zugriff auf das Konto zu gewähren, dass ich jedem anderen Lesekontext geben muss, um klar zu bleiben .
duct_tape_coder