Tarea programada de Windows: ¿Cuáles son los derechos de usuario mínimos necesarios para la tarea?

12

Por el momento, tengo una tarea que está configurada para ejecutarse como "tarea automática" del usuario

Pero la tarea no se ejecutará, se muestra "no se puede iniciar".

Cuando agrego este usuario al grupo Administradores, la tarea se ejecuta bien.

Pero en la vida real ... Quiero que este usuario esté SUPER restringido ... SOLO capaz de ejecutar esta tarea, sin derechos de inicio de sesión, sin derechos de sistema de archivos que no sean para el único archivo por lotes ...

He buscado por todas partes un documento que dice "aquí está el usuario básico más despojado que puede ejecutar una tarea" ...

Parece que no hay tal documento!

Sugerencias?

¡Gracias!

Jonesome restablecer monica
fuente

Respuestas:

13

Además de los permisos del sistema de archivos, deberá permitirlo Log on as a batch job. Controla la creación de la sesión para una tarea programada.

El programador de tareas debe colocar al usuario en esa lista de permitidos cuando cree la tarea. Puede confirmar con la herramienta Política de seguridad local. La otra posibilidad es que se configure a través de la política de grupo, en cuyo caso, investigue un poco el conjunto de políticas resultante y encuentre el GPO que necesita ser cambiado.


Aquí está la otra cosa: revisa los permisos c:\windows\system32\cmd.exe. Son funky Si ha eliminado al usuario del Usersgrupo, no puede ejecutar cmd.exe de manera predeterminada, lo que suele ser una gran parte de la ejecución de un archivo por lotes. Agregue el usuario a esa ACL, con lectura / ejecución. Verifique todos y cada uno de los ejecutables que el archivo por lotes necesita tocar.

Shane Madden
fuente
-2

¿Qué tal conceder las siguientes Políticas:

  • Permitir iniciar sesión localmente
  • Actuar como parte del sistema operativo
  • Ajuste las cuotas de memoria para un proceso
  • Omitir verificación transversal
  • Bloquear páginas en la memoria
  • Inicie sesión como un trabajo por lotes
  • Inicie sesión como un servicio
  • Realizar tareas de mantenimiento de volumen
  • Reemplazar un token de nivel de proceso

Leer más: http://sqlsolace.blogspot.com/2009/08/task-scheduler-task-does-not-run-error.html#ixzz1qGzzshH9

Ingeniero de Sistemas Senior
fuente
44
El OP quiere que "este usuario esté SUPER restringido". Los derechos enumerados anteriormente son más o menos lo contrario de eso. Por ejemplo, Act as part of the operating systempermite al usuario "asumir la identidad de cualquier usuario y, por lo tanto, obtener acceso a los recursos a los que está autorizado el usuario" docs.microsoft.com/en-us/previous-versions/windows/it-pro/… . Perform volume maintenance taskspermitiría al usuario eliminar todo el disco duro y todo tipo de otras cosas terribles.
Daniel Schilling
Dudé en votar esta respuesta, pero honestamente, esa lista de permisos es mucho peor que otorgar el acceso a la cuenta a los Administradores que tengo que darle a cualquier otra persona que lea el contexto para mantenerse claro .
duct_tape_coder