Tugas Terjadwal Windows: Apa hak pengguna minimum yang diperlukan untuk tugas tersebut?


12

Saat ini, saya memiliki tugas yang dikonfigurasi untuk dijalankan sebagai pengguna "automatictask"

Tetapi tugas tidak akan berjalan, "tidak dapat memulai" ditampilkan.

Ketika saya menambahkan pengguna ini ke grup Administrator, maka tugas berjalan dengan baik.

Tetapi dalam kehidupan nyata .... Saya ingin pengguna ini SUPER dibatasi .... HANYA dapat menjalankan tugas ini, tidak ada hak masuk, tidak ada hak sistem file selain ke file satu batch ....

Saya telah mencari tinggi dan rendah untuk sebuah dokumen yang mengatakan "di sini adalah pengguna dasar paling sederhana yang dapat menjalankan tugas" ....

Sepertinya tidak ada dokumen seperti itu!

Saran?

Terima kasih!

Jawaban:


13

Selain izin sistem file, Anda harus mengizinkan Log on as a batch job. Ini mengontrol memungkinkan sesi yang akan dibuat untuk tugas yang dijadwalkan.

Penjadwal tugas harus menempatkan pengguna dalam daftar yang memungkinkan saat Anda membuat tugas. Anda dapat mengonfirmasi dengan alat Kebijakan Keamanan Lokal. Kemungkinan lain adalah bahwa itu dikonfigurasi melalui kebijakan grup, dalam hal ini, lakukan penggalian dalam kumpulan kebijakan yang dihasilkan dan temukan GPO yang perlu diubah.


Ini satu hal lagi: Lihat izin pada c:\windows\system32\cmd.exe. Mereka funky. Jika Anda telah menghapus pengguna dari Usersgrup, itu tidak dapat menjalankan cmd.exe secara default, yang cenderung menjadi bagian besar dari menjalankan file batch. Tambahkan pengguna ke ACL itu, dengan baca / eksekusi. Periksa setiap dan semua file executable yang perlu disentuh file batch.


-2

Bagaimana dengan memberikan Kebijakan berikut:

  • Izinkan masuk secara lokal
  • Bertindak sebagai bagian dari sistem operasi
  • Sesuaikan kuota memori untuk proses
  • Bypass traverse checking
  • Halaman Kunci dalam memori
  • Masuk sebagai pekerjaan batch
  • Masuk sebagai layanan
  • Lakukan tugas pemeliharaan volume
  • Ganti token level proses

Baca lebih lanjut: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9


4
OP ingin "pengguna ini SUPER dibatasi". Hak-hak yang tercantum di atas adalah kebalikan dari itu. Sebagai contoh, Act as part of the operating systemmemungkinkan pengguna untuk "mengasumsikan identitas pengguna mana pun dan dengan demikian memperoleh akses ke sumber daya yang diizinkan untuk diakses oleh pengguna" docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance tasksakan memungkinkan pengguna untuk menghapus seluruh hard drive dan segala macam hal buruk lainnya.
Daniel Schilling

Saya ragu-ragu untuk memilih jawaban ini tetapi jujur ​​bahwa daftar izin jauh lebih buruk daripada memberikan akses akun ke Administrator sehingga saya harus memberikan konteks membaca kepada orang lain agar tetap jelas .
duct_tape_coder
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.