Отказать во входе в качестве пакетного задания

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Отказать во входе в качестве пакетного задания.

Справка

Этот параметр политики определяет, каким учетным записям запрещено входить в систему с помощью инструмента очереди пакетных заданий для планирования и автоматического запуска заданий в будущем. Возможность войти в систему с помощью инструмента очереди пакетных заданий необходима учетным записям, которые используются для запуска запланированных заданий с помощью планировщика заданий.

Константа: SeDenyBatchLogonRight

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  1. При назначении этого права пользователя необходимо убедиться, что результат будет таким, каким вы его запланировали.

  2. В домене измените этот параметр для соответствующего объекта групповой политики (GPO).

  3. Право Отказать во входе в качестве пакетного задания позволяет ограничить для администраторов и операторов возможность использовать свои личные учетные записи для планирования задач, благодаря чему обеспечивается непрерывность бизнеса, когда соответствующий человек переходит на новую должность или меняет круг своих обязанностей.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Не определено

Действующие параметры рядового сервера по умолчанию

Не определено

Действующие параметры клиентского компьютера по умолчанию

Не определено

 

Управление политикой

В этом разделе описаны компоненты и инструменты, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Этот параметр политики может конфликтовать с параметром Вход в качестве пакетного задания и отменять его действие.

Групповая политика

На устройстве, которое входит в домен, в том числе контроллере домена, эта политика может быть переопределена политикой домена, в результате чего вы не сможете изменить параметр локальной политики.

Например, при настройке планировщика заданий на контроллере домена обязательно просмотрите назначения на вкладке "Параметры" для двух объектов групповой политики домена и контроллера домена в консоли управления групповыми политиками (GPMC). Убедитесь, что целевой учетной записи нет в списке назначений прав пользователя Отказать во входе в качестве пакетного задания и она правильно настроена в параметре Вход в качестве пакетного задания.

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Учетные записи, которым предоставлено право Отказать во входе в качестве пакетного задания, могут быть использованы для планирования задач, направленных на чрезмерное потребление ресурсов компьютера и создания условий для отказа в обслуживании.

Меры противодействия

Назначайте право Отказать во входе в качестве пакетного задания локальной учетной записи "Гость".

Возможные последствия

Если назначить право Отказать во входе в качестве пакетного задания другим учетным записям, вы можете тем самым ограничить для пользователей, которым назначены определенные административные роли, возможность выполнять требуемые действия в рамках заданий. Вам следует убедиться, что выполнение делегированных задач не будет нарушено.

Связанные разделы

Назначение прав пользователя

 

 

Показ: