Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben beschrieben.
Referenz
Diese Einstellung bestimmt, ob Serveroperatoren Aufträge mit dem at-Befehl übermitteln können. Wenn diese Richtlinieneinstellung aktiviert wird, werden Aufträge, die von Serveroperatoren mit dem at-Befehl erstellt werden, im Kontext des Kontos ausgeführt, von dem die Aufgabenplanung ausgeführt wird. Standardmäßig ist dies das lokale Systemkonto.
Hinweis
Diese Einstellung der Sicherheitsoption wirkt sich nur auf die Planung für den at-Befehl aus. Sie wirkt sich nicht auf das Aufgabenplanungstool aus.
Wenn Sie diese Richtlinieneinstellung aktivieren, heißt das, dass von Serveroperatoren mit dem at-Befehl erstellte Aufträge im Kontext des Kontos ausgeführt werden, unter dem der Dienst ausgeführt wird. In der Standardeinstellung handelt es sich dabei um das lokale Systemkonto. Das heißt, dass Serveroperatoren Aufgaben ausführen können, die das lokale Systemkonto ausführen kann, die Serveroperatoren jedoch normalerweise nicht ausführen könnten, z. B. das Hinzufügen ihres Kontos zur lokalen Administratorgruppe.
Das Aktivieren dieser Richtlinieneinstellung sollte in den meisten Unternehmen nur geringfügige Auswirkungen haben. Benutzer (einschließlich der in der Gruppe „Serveroperatoren“) können weiterhin Aufträge mit dem Taskplaner-Assistenten erstellen. Diese Aufträge werden jedoch im Kontext des Kontos ausgeführt, mit dem sich der Benutzer beim Einrichten des Auftrags authentifiziert.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Bewährte Methoden für diese Richtlinie hängen von Ihren betrieblichen und Sicherheitsanforderungen hinsichtlich der Aufgabenplanung ab.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für DC |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Befehlszeilentools
Mit dem at-Befehl wird die Ausführung von Befehlen und Programmen auf einem Computer zu einem festgelegten Zeitpunkt geplant. Der Zeitplandienst muss ausgeführt werden, damit der at-Befehl verwendet werden kann.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Im Kontext des lokalen Systemkontos ausgeführte Aufgaben können sich auf Ressourcen auswirken, deren Berechtigungsebene höher als die des Benutzerkontos ist, mit dem die Aufgabe geplant wurde.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben.
Mögliche Auswirkung
Die Auswirkung sollte für die meisten Organisationen klein sein. Benutzer (einschließlich der in der Gruppe „Serveroperatoren“) können weiterhin Aufträge über das Snap-In „Aufgabenplanung“ erstellen. Diese Aufträge werden jedoch im Kontext des Kontos ausgeführt, mit dem sich der Benutzer beim Einrichten des jeweiligen Auftrags authentifiziert hat.