Tâche planifiée Windows: Quels sont les droits d'utilisateur minimum requis pour la tâche?

13

Pour le moment, j'ai une tâche qui est configurée pour s'exécuter en tant qu'utilisateur "tâche automatique"

Mais la tâche ne s'exécutera pas, "impossible de démarrer" s'affiche.

Lorsque j'ajoute cet utilisateur au groupe Administrateurs, la tâche s'exécute correctement.

Mais dans la vraie vie .... Je veux que cet utilisateur soit SUPER restreint .... UNIQUEMENT capable d'exécuter cette tâche, aucun droit de connexion, aucun droit de système de fichiers autre que sur le fichier batch unique ....

J'ai cherché haut et bas un document qui dit "voici l'utilisateur de base le plus dépouillé qui peut exécuter une tâche" ....

Il ne semble pas exister un tel document!

Suggestions?

Merci!

Jonesome Reinstate Monica
la source

Réponses:

14

Outre les autorisations du système de fichiers, vous devrez autoriser Log on as a batch job. Il contrôle la création de la session pour une tâche planifiée.

Le planificateur de tâches doit placer l'utilisateur dans cette liste d'autorisation lorsque vous créez la tâche. Vous pouvez confirmer avec l'outil de stratégie de sécurité locale. L'autre possibilité est qu'il est configuré via une stratégie de groupe, auquel cas, effectuez une fouille dans l'ensemble de stratégie résultant et recherchez l'objet de stratégie de groupe qui doit être modifié.


Voici l'autre chose: vérifiez les autorisations sur c:\windows\system32\cmd.exe. Ils sont géniaux. Si vous avez supprimé l'utilisateur du Usersgroupe, il ne peut pas exécuter cmd.exe par défaut, ce qui a tendance à être une grande partie de l'exécution d'un fichier de commandes. Ajoutez l'utilisateur à cette ACL, avec lecture / exécution. Vérifiez tous les exécutables que le fichier de commandes doit toucher.

Shane Madden
la source
-2

Que diriez-vous d'accorder les politiques suivantes:

  • Autoriser la connexion locale
  • Agir en tant que partie du système d'exploitation
  • Ajuster les quotas de mémoire pour un processus
  • Vérification du contournement
  • Verrouiller les pages en mémoire
  • Connectez-vous en tant que tâche par lots
  • Connectez-vous en tant que service
  • Effectuer des tâches de maintenance de volume
  • Remplacer un jeton de niveau processus

En savoir plus: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9

Ingénieur système senior
la source
4
L'OP souhaite que "cet utilisateur soit SUPER restreint". Les droits énumérés ci-dessus sont à peu près le contraire de cela. Par exemple, Act as part of the operating systempermet à l'utilisateur «d'assumer l'identité de n'importe quel utilisateur et ainsi d'accéder aux ressources auxquelles l'utilisateur est autorisé à accéder» docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance taskspermettrait à l'utilisateur de supprimer l'intégralité du disque dur et toutes sortes d'autres choses terribles.
Daniel Schilling
J'ai hésité à voter cette réponse, mais honnêtement, cette liste d'autorisations est tellement pire que d'accorder l'accès au compte aux administrateurs que je dois donner à quiconque un contexte de lecture pour rester clair .
duct_tape_coder