Aufgabensicherheitskontext

Betrifft: Windows 7, Windows Server 2008 R2, Windows Vista

Eine geplante Aufgabe wird standardmäßig im Sicherheitskontext des Benutzers ausgeführt, der sie geplant hat, und zwar nur dann, wenn dieser Benutzer beim Auslösen der Aufgabe angemeldet ist. Um dies zu ändern, bearbeiten Sie in der Anzeige der Aufgabeneigenschaften die Einstellungen im Abschnitt Sicherheitsoptionen auf der Registerkarte Allgemein.

Sie können ein anderes Benutzer- oder Gruppenkonto auswählen, unter dem die Aufgabe ausgeführt werden soll, indem Sie auf die Schaltfläche Benutzer oder Gruppe ändern klicken. Wenn Ihr Benutzerkonto nicht Mitglied der Administratorengruppe ist, trägt diese Schaltfläche die Bezeichnung Benutzer ändern. Benutzerkonten, die nicht Mitglied der Administratorengruppe sind, können nur ein Benutzerkonto angeben, unter dem die Aufgabe ausgeführt werden soll.

noteHinweis
Wenn eine Aufgabe mithilfe der Gruppe Administratoren für den Sicherheitskontext der Aufgabe registriert wird, müssen Sie außerdem sicherstellen, dass das Kontrollkästchen Mit höchsten Privilegien ausführen aktiviert ist, wenn Sie die Aufgabe ausführen möchten.

Sie können festlegen, dass eine Aufgabe auch dann ausgeführt werden soll, wenn das Konto, das sie geplant hat, bei ihrer Auslösung nicht angemeldet ist. Aktivieren Sie dazu die Optionsschaltfläche Unabhängig von der Benutzeranmeldung ausführen. Wenn diese Optionsschaltfläche aktiviert ist, werden Aufgaben nicht interaktiv ausgeführt. Damit eine Aufgabe interaktiv ausgeführt wird, aktivieren Sie die Optionsschaltfläche Nur ausführen, wenn Benutzer angemeldet ist.

Wenn die Option Nur ausführen, wenn Benutzer angemeldet ist aktiviert ist, werden Sie beim Speichern der Aufgabe möglicherweise aufgefordert, Anmeldeinformationen für das Konto einzugeben, unabhängig davon, ob Sie das Kontrollkästchen Kennwort nicht speichern aktiviert haben oder nicht. Wenn das Konto beim Auslösen der zugehörigen Aufgabe nicht angemeldet ist, verwendet der Dienst die gespeicherten Anmeldeinformationen, um die Aufgabe unter dem angegebenen Konto auszuführen. Dadurch kann er das resultierende Token uneingeschränkt verwenden.

Wenn Sie das Kontrollkästchen Kennwort nicht speichern aktiviert haben, speichert die Aufgabenplanung keine vom lokalen Computer bereitgestellten Anmeldeinformationen, sondern verwirft sie nach der Authentifizierung des Benutzers. Wenn die Aufgabe ausgeführt werden soll, verwendet der Aufgabenplanungsdienst die Erweiterung "Server-for-user" (S4U) des Kerberos-Authentifizierungsprotokolls, um das Benutzertoken abzurufen.

Bei der Verwendung von S4U sind die Möglichkeiten des Dienstes, den Sicherheitskontext des Kontos zu nutzen, eingeschränkt. Insbesondere kann der Dienst den Sicherheitskontext nur für den Zugriff auf lokale Ressourcen verwenden.

noteHinweis
Wenn die Aufgabe den Zugriff auf Netzwerkressourcen erfordert, können Sie S4U nicht verwenden, da die Aufgabe sonst einen Fehler hervorruft. Die einzige Ausnahme besteht, wenn zwischen den Computern, die dieser Vorgang betrifft, eine eingeschränkte Delegierung eingerichtet ist.

Die S4U-Funktionalität steht nur in Umgebungen zur Verfügung, in denen alle Domänencontroller der Domäne unter dem Betriebssystem Windows Server 2003 oder höher laufen.

Bei der Verwendung der S4U-Funktionalität hat die Aufgabe keinen Zugriff auf verschlüsselte Dateien.

Wenn Sie die S4U-Funktionalität verwenden, müssen Sie sicherstellen, dass die Richtlinie Anmelden als Stapelverarbeitungsauftrag für den Benutzer eingerichtet ist. Sie können auf diese Richtlinie zugreifen, indem Sie Systemsteuerung, Verwaltung und Lokale Sicherheitsrichtlinie öffnen. Im Fenster Lokale Sicherheitsrichtlinie klicken Sie auf Lokale Richtlinie, Zuweisen von Benutzerrechten und schließlich auf Anmelden als Stapelverarbeitungsauftrag.

Weitere Informationen über die Kerberos-Erweiterung S4U finden Sie unter RFC 1510 (möglicherweise in englischer Sprache).

Wenn Sie das Kontrollkästchen Mit höchsten Privilegien ausführen aktivieren, führt die Aufgabenplanung die Aufgabe mit einem Token für erhöhte Rechte statt für die geringsten Rechte (Benutzerkontosteuerung) aus. Sie sollten nur diejenigen Aufgaben mit erhöhten Rechten ausführen, die ihre Aktionen anderenfalls nicht erledigen können. Weitere Informationen finden Sie unter Benutzerkontosteuerung (möglicherweise in englischer Sprache).

Community-Beiträge

HINZUFÜGEN
Anzeigen: