バッチ ジョブとしてログオン
[バッチ ジョブとしてログオン] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、タスク スケジューラ サービスなどのバッチ キュー ツールを使用してログオンできるアカウントを決定します。スケジュールされたタスクの追加ウィザードを使用して、特定のユーザー名とパスワードで実行するタスクをスケジュールすると、そのユーザーは [バッチ ジョブとしてログオン] ユーザー権利が自動的に割り当てられます。スケジュールされた時刻になると、タスク スケジューラ サービスは、ユーザーを対話ユーザーではなくバッチ ジョブとしてログオンさせ、タスクがそのユーザーのセキュリティ コンテキストで実行されます。
定数: SeBatchLogonRight
設定可能な値
アカウントのユーザー定義一覧
既定値
未定義
ベスト プラクティス
- セキュリティ上の理由から特定のユーザーにこの権利を割り当てる場合は、慎重に判断します。ほとんどの場合、既定の設定をそのまま使うことができます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定はドメイン コント ローラーおよびスタンドアロン サーバー上で [Administrators]、[Backup Operators]、および [Performance Log Users] に対応します。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Backup Operators Performance Log Users |
スタンドアロン サーバーの既定の設定 |
Administrators Backup Operators Performance Log Users |
ドメイン コントローラーの有効な既定の設定 |
Administrators Backup Operators Performance Log Users |
メンバー サーバーの有効な既定の設定 |
Administrators Backup Operators Performance Log Users |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
タスク スケジューラは、ユーザーがタスクをスケジュール設定すると自動的にこの権利を付与します。この動作を変更するには、[バッチ ジョブとしてのログオンを拒否] ユーザー権利の割り当て設定を使います。
グループ ポリシー設定は、GPO を通じて次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[バッチ ジョブとしてログオン] のユーザー権利によってもたらされる脆弱性のリスクは高くありません。ほとんどの組織で既定の設定をそのまま使うことができます。既定では、ローカル Administrators グループのメンバーにこの権利が付与されます。
対策
スケジュール済みタスクを特定のユーザー アカウントの代わりに実行しようとする場合は、このユーザー権利を自動的に管理できるようにコンピューターに許可する必要があります。この方法でタスク スケジューラを使用しない場合は、[バッチ ジョブとしてログオン] のユーザー権利をローカル サービス アカウントのみに構成します。
IIS サーバーでは、ドメイン ベースのグループ ポリシー設定を介さずに、このポリシーをローカルに構成する必要があります。こうすることで、ローカル IUSR_<ComputerName> および IWAM_<ComputerName> アカウントにこのユーザー権利が確実に設定されます。
潜在的な影響
ドメイン ベースのグループ ポリシー設定として [バッチ ジョブとしてログオン] 設定を構成した場合、このコンピューターは、タスク スケジューラのスケジュール済みジョブに使用されるアカウントにこのユーザー権利を割り当てることができません。ASP.NET または IIS などのオプション コンポーネントをインストールするとき、場合によっては、それらのコンポーネントで必要とされる他のアカウントにこのユーザー権利を割り当てる必要があります。たとえば、IIS では、IIS_WPG グループ、IUSR_<ComputerName>、ASPNET、および IWAM_<ComputerName> アカウントへのこのユーザー権利の割り当てが必要です。このユーザー権利がこのグループおよびこれらのアカウントに割り当てられていないと、正常に機能するために必要な COM オブジェクトの一部を IIS が実行できません。