Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию.
Справка
Этот параметр политики указывает, могут ли операторы сервера использовать команду at для отправки заданий. Если вы включите этот параметр политики, то задания, создаваемые операторами сервера с помощью команды at, будут запускаться в контексте учетной записи, из которой запущена служба планировщика заданий. По умолчанию это учетная запись Local System.
Примечание
Этот параметр безопасности влияет только на средство создания расписаний для команды at. Он влияет на средство планировщика заданий.
Если вы включите этот параметр политики, то задания, создаваемые операторами сервера с помощью команды at, будут выполняться в контексте учетной записи, из которой запущена эта служба. По умолчанию используется учетная запись Local System. Это означает, что операторы сервера могут выполнять задачи, которые разрешено выполнять учетной записи Local System и которые обычно не разрешено выполнять операторам сервера, например добавлять свои учетные записи в локальную группу "Администраторы".
В большинстве организаций включение этого параметра политики не окажет большого влияния. Пользователи, в том числе в группе "Операторы сервера", по-прежнему смогут создавать задания с помощью мастера планировщика заданий, но такие задания будут запускаться в контексте учетной записи, с помощью которой пользователь проходит проверку подлинности при создании задания.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Рекомендации для этой политики зависят от ваших операционных требований и требований к безопасности при планировании заданий.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Программы командной строки
С помощью команды at можно запланировать запуск команд и программ на компьютере на определенные дату и время. Чтобы использовать команду at, должна работать служба расписаний.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Задачи, которые выполняются в контексте учетной записи Local System, могут повлиять на ресурсы с более высоким уровнем прав, чем те, которые имеются у учетной записи пользователя, в которой запланирована задача.
Меры противодействия
Отключите параметр Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию.
Возможные последствия
В большинстве организаций этот параметр не окажет большого влияния. Пользователи (в том числе в группе "Операторы сервера") по-прежнему могут создавать задания с помощью оснастки планировщика заданий. Тем не менее такие задания будут запускаться в контексте учетной записи, с помощью которой пользователь проходит проверку подлинности при создании задания.