Attività pianificata di Windows: quali sono i diritti utente minimi necessari per l'attività?

13

Al momento, ho un'attività configurata per l'esecuzione come "automatictask" dell'utente

Ma l'attività non verrà eseguita, viene visualizzato "impossibile avviare".

Quando aggiungo questo utente al gruppo Administrators, l'attività viene eseguita correttamente.

Ma nella vita reale ... Voglio che questo utente sia SUPER limitato .... SOLO in grado di eseguire questa attività, nessun diritto di accesso, nessun diritto di file system diverso da quello di un file batch ....

Ho cercato in alto e in basso un documento che dice "ecco l'utente di base più semplice che può eseguire un'attività" ....

Sembra che non ci sia un documento del genere!

Suggerimenti?

Grazie!

scheduled-task 
Jonesome ripristina Monica
fonte

Risposte:

14

Oltre alle autorizzazioni del filesystem, dovrai permetterlo Log on as a batch job. Controlla che sia possibile creare la sessione per un'attività pianificata.

L'utilità di pianificazione dovrebbe inserire l'utente in tale elenco di autorizzazioni quando si crea l'attività. È possibile confermare con lo strumento Criteri di sicurezza locali. L'altra possibilità è che sia configurata tramite criteri di gruppo, nel qual caso, esegui alcune ricerche nel set di criteri risultante e trova l'oggetto Criteri di gruppo che deve essere modificato.

Ecco l'altra cosa: controlla le autorizzazioni su c:\windows\system32\cmd.exe. Sono funky. Se hai rimosso l'utente dal Usersgruppo, non può eseguire cmd.exe per impostazione predefinita, il che tende a essere una parte importante dell'esecuzione di un file batch. Aggiungi l'utente a tale ACL, con lettura / esecuzione. Controlla tutti gli eseguibili che il file batch deve toccare.

Shane Madden
fonte
-2

Che ne dici di concedere le seguenti politiche:

  • Consenti accesso a livello locale
  • Agire come parte del sistema operativo
  • Regola le quote di memoria per l'aprocesso
  • Bypass traverse check
  • Blocca pagine in memoria
  • Accedi come processo batch
  • Accedi come servizio
  • Eseguire attività di manutenzione del volume
  • Sostituisci un token a livello di processo

Per saperne di più: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9

Ingegnere senior dei sistemi
fonte
4
L'OP vuole "questo utente sia SUPER limitato". I diritti sopra elencati sono praticamente l'opposto di quello. Ad esempio, Act as part of the operating systemconsente all'utente di "assumere l'identità di qualsiasi utente e quindi ottenere l'accesso alle risorse a cui l'utente è autorizzato ad accedere" docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance tasksconsentirebbe all'utente di eliminare l'intero disco rigido e ogni sorta di altre cose terribili.
Daniel Schilling,
Ho esitato a votare questa risposta, ma onestamente quell'elenco di autorizzazioni è molto peggio che concedere all'account l'accesso agli amministratori che devo dare a chiunque legga il contesto per rimanere chiaro .
duct_tape_coder
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.