Zaplanowane zadanie systemu Windows: jakie są minimalne uprawnienia użytkownika potrzebne do zadania?

13

W tej chwili mam zadanie skonfigurowane do działania jako użytkownik „automatycznie wykonujący”

Ale zadanie się nie uruchomi, zostanie wyświetlony komunikat „Nie można uruchomić”.

Po dodaniu tego użytkownika do grupy Administratorzy zadanie działa poprawnie.

Ale w prawdziwym życiu ... Chcę, aby ten użytkownik był SUPER ograniczony ... TYLKO mógł uruchomić to zadanie, bez uprawnień do logowania, żadnych praw systemu plików innych niż do jednego pliku wsadowego ...

Szukałem wysoko i nisko dokumentu, w którym napisano: „tutaj jest najbardziej uproszczony, podstawowy użytkownik, który może uruchomić zadanie” ....

Wydaje się, że takiego dokumentu nie ma!

Propozycje?

Dzięki!

scheduled-task Jonesome przywraca Monikę
źródło

Odpowiedzi:

14

Inne niż uprawnienia do systemu plików, musisz zezwolić Log on as a batch job. Kontroluje zezwalanie na tworzenie sesji dla zaplanowanego zadania.

Harmonogram zadań powinien umieścić użytkownika na liście dozwolonych podczas tworzenia zadania. Możesz to potwierdzić za pomocą narzędzia Lokalne zasady bezpieczeństwa. Inna możliwość polega na tym, że konfiguruje się ją za pomocą zasad grupy, w takim przypadku należy wykonać kopanie wynikowego zestawu zasad i znaleźć obiekt GPO, który wymaga zmiany.

Oto druga rzecz: Sprawdź uprawnienia na c:\windows\system32\cmd.exe. Są funky. Jeśli usunąłeś użytkownika z Usersgrupy, domyślnie nie można uruchomić cmd.exe, co zwykle stanowi dużą część uruchamiania pliku wsadowego. Dodaj użytkownika do tej listy ACL, czytając / wykonując. Sprawdź wszystkie pliki wykonywalne, których plik wsadowy musi dotknąć.

Shane Madden
źródło
-2

Co powiesz na przyznanie następujących zasad:

  • Zezwalaj na logowanie lokalne
  • Działaj jako część systemu operacyjnego
  • Dostosuj przydziały pamięci dla procesu
  • Sprawdzanie obrotu pomijania
  • Zablokuj strony w pamięci
  • Zaloguj się jako zadanie wsadowe
  • Zaloguj się jako usługa
  • Wykonaj zadania konserwacji woluminu
  • Wymień token poziomu procesu

Czytaj więcej: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9

Starszy inżynier systemów
źródło
4
OP chce, aby „ten użytkownik był SUPER ograniczony”. Prawa wymienione powyżej są wręcz przeciwne. Na przykład Act as part of the operating systempozwala użytkownikowi „przyjąć tożsamość dowolnego użytkownika, a tym samym uzyskać dostęp do zasobów, do których dostępu użytkownik jest uprawniony” docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance taskspozwoli użytkownikowi usunąć cały dysk twardy i wszystkie inne straszne rzeczy.
Daniel Schilling
Wahałem się przed głosowaniem nad tą odpowiedzią, ale szczerze mówiąc, lista uprawnień jest o wiele gorsza niż przyznanie dostępu do konta administratorom, że muszę dać każdemu inny kontekst czytania, aby zachować przejrzystość .
duct_tape_coder