Запланированная задача Windows: Какие минимальные права пользователя необходимы для этой задачи?

13

На данный момент у меня есть задача, которая настроена для запуска в качестве пользователя "Automatictask"

Но задача не запустится, отображается сообщение «невозможно запустить».

Когда я добавляю этого пользователя в группу «Администраторы», задача выполняется нормально.

Но в реальной жизни .... Я хочу, чтобы этот пользователь был СУПЕР-ограниченным .... ТОЛЬКО в состоянии выполнять эту задачу, без прав входа в систему, без прав файловой системы, кроме одного пакетного файла ....

Я искал высоко и низко документ, который говорит, что «здесь самый урезанный, простой пользователь, который может выполнить задачу» ....

Кажется, нет такого документа!

Предложения?

Благодарность!

scheduled-task Jonesome Восстановить Монику
источник

Ответы:

14

Помимо разрешений файловой системы, вам нужно разрешить Log on as a batch job. Он управляет разрешением создания сеанса для запланированной задачи.

Планировщик задач должен поместить пользователя в этот список разрешений при создании задачи. Вы можете подтвердить это с помощью инструмента Local Security Policy. Другая возможность заключается в том, что он настраивается с помощью групповой политики, и в этом случае нужно покопаться в результирующем наборе политик и найти нужный объект групповой политики.

Вот еще одна вещь: проверить разрешения на c:\windows\system32\cmd.exe. Они в стиле фанк. Если вы удалили пользователя из Usersгруппы, он не сможет запустить cmd.exe по умолчанию, что, как правило, является важной частью запуска командного файла. Добавьте пользователя в этот ACL с помощью read / execute. Проверьте все исполняемые файлы, к которым должен прикоснуться пакетный файл.

Шейн Мэдден
источник
-2

Как насчет предоставления следующих политик:

  • Разрешить вход локально
  • Действовать как часть операционной системы
  • Настройте квоты памяти для процесса
  • Обход обхода
  • Блокировка страниц в памяти
  • Войти как пакетное задание
  • Войти как сервис
  • Выполните задачи обслуживания объема
  • Заменить токен уровня процесса

Подробнее: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9

Старший системный инженер
источник
4
ОП хочет, чтобы «этот пользователь был СУПЕР ограничен». Перечисленные выше права в значительной степени противоположны этому. Например, Act as part of the operating systemпозволяет пользователю «принять личность любого пользователя и, таким образом, получить доступ к ресурсам, доступ к которым разрешен пользователю» docs.microsoft.com/en-us/previous-versions/windows/it-pro/… , Perform volume maintenance tasksпозволит пользователю удалить весь жесткий диск и всякие другие ужасные вещи.
Даниэль Шиллинг
Я не решался голосовать за этот ответ, но, честно говоря, список разрешений намного хуже, чем предоставление доступа к учетной записи администраторам, поэтому я должен предоставить кому-то еще контекст для чтения, чтобы оставаться ясным .
duct_tape_coder