Вход в качестве пакетного задания

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Вход в качестве пакетного задания.

Справка

Этот параметр политики определяет, какие учетные записи могут войти в систему с помощью средства пакетной очереди, например службы планировщика заданий. Если вы используете мастер добавления запланированных задач, чтобы запланировать задачу, которая будет выполняться под именем и паролем конкретного пользователя, право Вход в качестве пакетного задания автоматически назначается этому пользователю. Когда наступает запланированное время, служба планировщика заданий входит в систему как пакетное задание, а не интерактивный пользователь, а задача выполняется в контексте безопасности пользователя.

Константа: SeBatchLogonRight

Возможные значения

  • Пользовательский список учетных записей

  • Значения по умолчанию

  • Не определено

Рекомендации

  • По соображениям безопасности следует быть осторожным, назначая это право пользователям. В большинстве случаев параметров по умолчанию достаточно.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию этот параметр доступен администраторам, операторам архива и пользователям журнала производительности на контроллерах домена и автономных серверах.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Операторы архива

Пользователи журнала производительности

Параметры автономного сервера по умолчанию

Администраторы

Операторы архива

Пользователи журнала производительности

Действующие параметры контроллера домена по умолчанию

Администраторы

Операторы архива

Пользователи журнала производительности

Действующие параметры рядового сервера по умолчанию

Администраторы

Операторы архива

Пользователи журнала производительности

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Планировщик заданий автоматически предоставляет это право, когда пользователь планирует задачу. Чтобы изменить это поведение, используйте параметр Отказать во входе в качестве пакетного задания назначения прав пользователя.

Параметры групповой политики применяются в указанном ниже порядке, который переопределит параметры на локальном компьютере во время следующего обновления групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Право пользователя Вход в качестве пакетного задания представляет собой уязвимость с низким уровнем риска. В большинстве организаций параметров по умолчанию достаточно. По умолчанию это право получают члены локальной группы "Администраторы".

Меры противодействия

Вам следует разрешить компьютеру управлять этим правом автоматически, если вы хотите разрешить выполнение запланированных задач для определенных учетных записей пользователей. Если вы не хотите использовать планировщик заданий таким образом, настройте право пользователя Вход в качестве пакетного задания только для учетной записи "Локальная служба".

Для серверов IIS необходимо настроить эту политику локально, а не через параметры групповой политики на основе домена, чтобы у локальных учетных записей IUSR_<ComputerName> и IWAM_<ComputerName> было это право пользователя.

Возможные последствия

Если вы настраиваете параметр Вход в качестве пакетного задания с помощью параметров групповой политики на основе домена, компьютер не сможет назначить это право учетным записям, которые используются для запланированных задач планировщика заданий. Если установить необязательные компоненты, например ASP.NET или службы IIS, может потребоваться назначить это право пользователя дополнительным учетным записям, необходимых этим компонентам. Например, службам IIS следует назначить это право группе IIS_WPG, а также учетным записям IUSR_<ComputerName>, ASPNET и IWAM_<ComputerName>. Если это право пользователя не назначать данной группе и этим учетным записям, службы IIS не смогут запустить некоторые объекты COM, необходимые для их работы.

Связанные разделы

Назначение прав пользователя

 

 

Показ: