ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する
[ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、Server Operators がジョブを送信する at コマンドを使用することができるかどうかを決定します。このポリシー設定を有効にすると、Server Operators で at コマンドを使って作成したジョブが、タスク スケジューラ サービスを実行するアカウントのコンテキストで実行されます。既定では、ローカル システム アカウントになります。
注
このセキュリティ オプション設定は、at コマンドのスケジューラ ツールにのみ影響を与えます。タスク スケジューラ ツールには影響しません。
このポリシー設定を有効にすると、at コマンドを使って Server Operators で作成されたジョブが、そのサービスを実行しているアカウントのコンテキストで実行されます。既定では、ローカル システム アカウントになります。つまり、Server Operators は、ローカル システム アカウントで実行可能なタスクを実行できますが、ローカル Administrators グループにアカウントを追加するなど、通常は実行できません。
このポリシー設定を有効にしても、ほとんどの組織への影響は限定的です。Server Operators グループ内のユーザーなど、タスク スケジューラ ウィザード を使ってジョブを作成できますが、そのジョブは、ジョブの設定時にユーザーが認証に使ったアカウントのコンテキストで実行されます。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- このポリシーのベスト プラクティスは、タスクのスケジュール設定時のセキュリティと運用の要件によって異なります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
DC の有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
コマンド ライン ツール
at コマンドは、特定の日時にコンピューター上で実行されるようにコマンドとプログラムのスケジュールを設定します。at コマンドを使うには、スケジュール サービスが実行されている必要があります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ローカル システム アカウントのコンテキストで実行されるタスクは、このタスクがスケジュール設定されたユーザー アカウントより上位の特権レベルのリソースに影響を与える場合があります。
対策
[ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する] 設定を無効にします。
考えられる影響
ほとんどの組織への影響は限定的です。ユーザーは (Server Operators のユーザーなど)、タスク スケジューラのスナップインを使ってジョブを作成できます。ただし、このジョブは、ジョブの設定時にユーザーが認証に使ったアカウントのコンテキスト内で実行されます。