Tarefa agendada do Windows: Quais são os direitos mínimos de usuário necessários para a tarefa?


12

No momento, tenho uma tarefa que está configurada para ser executada como usuário "automatictask"

Mas a tarefa não será executada. "Impossível iniciar" é mostrado.

Quando adiciono esse usuário ao grupo Administradores, a tarefa é executada corretamente.

Mas na vida real .... Quero que esse usuário seja SUPER restrito ... SOMENTE capaz de executar esta tarefa, sem direitos de login, sem direitos de sistema de arquivos que não sejam o arquivo em lote ....

Eu procurei em alto e baixo por um documento que diz "aqui está o usuário básico mais despojado que pode executar uma tarefa" ....

Parece não haver esse documento!

Sugestões?

Obrigado!

Respostas:


13

Além das permissões do sistema de arquivos, você precisará permitir Log on as a batch job. Controla a criação da sessão para uma tarefa agendada.

O agendador de tarefas deve colocar o usuário nessa lista de permissões quando você criar a tarefa. Você pode confirmar com a ferramenta Diretiva de segurança local. A outra possibilidade é que ele seja configurado por meio da diretiva de grupo; nesse caso, faça uma escavação no conjunto de diretivas resultante e encontre o GPO que precisa ser alterado.


Aqui está a outra coisa: Confira as permissões em c:\windows\system32\cmd.exe. Eles são descolados. Se você removeu o usuário do Usersgrupo, ele não pode executar o cmd.exe por padrão, o que tende a ser uma grande parte da execução de um arquivo em lotes. Adicione o usuário a essa ACL, com leitura / execução. Verifique todos e todos os executáveis ​​que o arquivo em lote precisa tocar.


-2

Que tal conceder as seguintes políticas:

  • Permitir logon local
  • Agir como parte do sistema operacional
  • Ajustar cotas de memória para um processo
  • Ignorar verificação transversal
  • Bloquear páginas na memória
  • Efetue login como um trabalho em lotes
  • Entrar como um serviço
  • Executar tarefas de manutenção de volume
  • Substituir um token no nível do processo

Leia mais: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9


4
O OP deseja que "este usuário seja SUPER restrito". Os direitos listados acima são praticamente o oposto disso. Por exemplo, Act as part of the operating systempermite que o usuário "assuma a identidade de qualquer usuário e, assim, obtenha acesso aos recursos que ele está autorizado a acessar" docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance taskspermitiria ao usuário excluir todo o disco rígido e todos os tipos de outras coisas terríveis.
Daniel Schilling

Hesitei em votar nesta resposta, mas honestamente, a lista de permissões é muito pior do que conceder acesso à conta aos Administradores que tenho que dar a qualquer outra pessoa que leia o contexto para ficar clara .
Duct_tape_coder 01/05/19
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.