Завдання з розкладом Windows: Які мінімальні права користувача потрібні для виконання завдання?

13

На даний момент у мене є завдання, яке налаштовано на виконання як "автоматичного завдання" користувача

Але завдання не буде виконуватися, відображається "не вдається запустити".

Коли я додаю цього користувача до групи «Адміністратори», це завдання працює нормально.

Але в реальному житті .... Я хочу, щоб цей користувач був СУПЕР обмеженим .... ТОЛЬКО в змозі виконати це завдання, без прав на вхід, жодних прав на файлову систему, крім одного пакетного файлу ....

Я шукав високий і низький документ, в якому сказано, що "ось самий збитий, основний користувач, який може виконати завдання" ....

Здається, такого документа немає!

Пропозиції?

Дякую!

scheduled-task 
Jonesome Reinstate Моніка
джерело

Відповіді:

14

Крім дозволів файлової системи, вам потрібно дозволити Log on as a batch job. Він контролює, що дозволяє створити сеанс для запланованого завдання.

Планувальник завдань повинен занести користувача до списку дозволів під час створення завдання. Ви можете підтвердити це за допомогою інструмента локальної політики безпеки. Інша можливість полягає в тому, що вона налаштована за допомогою групової політики, і в такому випадку виконайте декілька копань у результуючому наборі політики та знайдіть групову групу, яка потребує змін.

Ось інша річ: ознайомтеся з дозволами на c:\windows\system32\cmd.exe. Вони веселі. Якщо ви видалили користувача з Usersгрупи, він за замовчуванням не може запустити cmd.exe, що, як правило, є великою частиною запуску пакетного файлу. Додайте користувача до цього ACL із читанням / виконанням. Перевірте будь-які виконувані файли, до яких потрібно торкнутися пакетного файлу.

Шейн Медден
джерело
-2

Як щодо надання наступної політики:

  • Дозволити локально увійти
  • Дійте як частина операційної системи
  • Відрегулюйте квоти пам’яті на доступність
  • Обхідна перевірка проходу
  • Блокування сторінок у пам'яті
  • Увійдіть як пакетне завдання
  • Увійдіть як послуга
  • Виконайте завдання з обслуговування обсягу
  • Замініть маркер рівня процесу

Детальніше: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9

Старший системний інженер
джерело
4
ОП хоче, щоб "цей користувач був обмежений SUPER". Перераховані вище права є майже протилежними цьому. Наприклад, Act as part of the operating systemдозволяє користувачеві " присвоїти особу будь-якого користувача і тим самим отримати доступ до ресурсів, до яких користувач має право доступу" docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance tasksдозволить користувачеві видалити весь жорсткий диск та всілякі інші жахливі речі.
Даніель Шиллінг
Я вагався, голосуючи за цю відповідь, але, чесно кажучи, перелік дозволів набагато гірший, ніж надання доступу до облікового запису адміністраторам, що я повинен дати комусь, хто читає контекст, щоб залишатися ясним .
duct_tape_coder
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.