域控制器: 允许服务器操作者计划任务
04/19/2017
本文内容
适用范围
Windows 10
介绍域控制器的最佳实践、位置、值和安全注意事项:允许服务器操作员安排任务 安全策略设置 。
参考
此策略设置确定服务器操作员是否可以使用at 命令提交作业。 如果启用此策略设置,则服务器操作员通过 at 命令创建的作业将在运行任务计划程序服务的帐户上下文中运行。 默认情况下,这是本地系统帐户。
注意: 此安全选项设置仅影响 at 命令的计划 程序 工具。 它不会影响任务计划程序工具。
启用此策略设置意味着服务器操作员通过 at 命令创建的作业将在运行该服务的帐户(默认情况下,即本地系统帐户)的上下文中执行。 这意味着服务器操作员可以执行本地系统帐户能够执行的任务,但服务器操作员通常无法执行这些任务,例如将其帐户添加到本地 管理员组。
对于大多数组织来说,启用此策略设置的影响应该很小。 用户(包括 Server Operators 组的用户)仍可使用任务计划程序向导创建作业,但这些作业将在用户在设置作业时进行身份验证时使用的帐户上下文中运行。
可能值
已启用
禁用
未定义
最佳做法
此策略的最佳实践取决于任务安排的安全和运营要求。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
未定义
DC 有效默认设置
未定义
成员服务器有效默认设置
未定义
客户端计算机有效默认设置
未定义
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,无需重新启动设备,此策略更改将生效。
命令行工具
at命令安排命令和程序在指定的时间和日期在计算机上运行。 计划服务必须运行,以使用 at 命令。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
在本地系统帐户上下文中运行的任务可能会影响权限级别高于计划任务的用户帐户的资源。
对策
禁用 域控制器:允许服务器操作员安排任务 设置。
潜在影响
对于大多数组织来说,影响应该很小。 ("服务器运算符"组中) 用户仍可通过"任务计划程序"管理单元创建作业。 但是,这些作业在用户设置作业时进行身份验证的帐户上下文中运行。
相关主题