Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben

Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben beschrieben.

Referenz

Diese Einstellung bestimmt, ob Serveroperatoren Aufträge mit dem at-Befehl übermitteln können. Wenn diese Richtlinieneinstellung aktiviert wird, werden Aufträge, die von Serveroperatoren mit dem at-Befehl erstellt werden, im Kontext des Kontos ausgeführt, von dem die Aufgabenplanung ausgeführt wird. Standardmäßig ist dies das lokale Systemkonto.

Hinweis  

Diese Einstellung der Sicherheitsoption wirkt sich nur auf die Planung für den at-Befehl aus. Sie wirkt sich nicht auf das Aufgabenplanungstool aus.

Wenn Sie diese Richtlinieneinstellung aktivieren, heißt das, dass von Serveroperatoren mit dem at-Befehl erstellte Aufträge im Kontext des Kontos ausgeführt werden, unter dem der Dienst ausgeführt wird. In der Standardeinstellung handelt es sich dabei um das lokale Systemkonto. Das heißt, dass Serveroperatoren Aufgaben ausführen können, die das lokale Systemkonto ausführen kann, die Serveroperatoren jedoch normalerweise nicht ausführen könnten, z. B. das Hinzufügen ihres Kontos zur lokalen Administratorgruppe.

Das Aktivieren dieser Richtlinieneinstellung sollte in den meisten Unternehmen nur geringfügige Auswirkungen haben. Benutzer (einschließlich der in der Gruppe „Serveroperatoren“) können weiterhin Aufträge mit dem Taskplaner-Assistenten erstellen. Diese Aufträge werden jedoch im Kontext des Kontos ausgeführt, mit dem sich der Benutzer beim Einrichten des Auftrags authentifiziert.

Mögliche Werte

• Aktiviert

• Deaktiviert

• Nicht definiert

Bewährte Methoden

• Bewährte Methoden für diese Richtlinie hängen von Ihren betrieblichen und Sicherheitsanforderungen hinsichtlich der Aufgabenplanung ab.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Befehlszeilentools

Mit dem at-Befehl wird die Ausführung von Befehlen und Programmen auf einem Computer zu einem festgelegten Zeitpunkt geplant. Der Zeitplandienst muss ausgeführt werden, damit der at-Befehl verwendet werden kann.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Im Kontext des lokalen Systemkontos ausgeführte Aufgaben können sich auf Ressourcen auswirken, deren Berechtigungsebene höher als die des Benutzerkontos ist, mit dem die Aufgabe geplant wurde.

Gegenmaßnahme

Deaktivieren Sie die Einstellung Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben.

Mögliche Auswirkung

Die Auswirkung sollte für die meisten Organisationen klein sein. Benutzer (einschließlich der in der Gruppe „Serveroperatoren“) können weiterhin Aufträge über das Snap-In „Aufgabenplanung“ erstellen. Diese Aufträge werden jedoch im Kontext des Kontos ausgeführt, mit dem sich der Benutzer beim Einrichten des jeweiligen Auftrags authentifiziert hat.

Verwandte Themen

Sicherheitsoptionen