目前,我有一个任务配置为以用户“automatictask”身份运行
但任务不会运行,显示“无法启动”。
当我将该用户添加到管理员组时,任务就可以正常运行。
但在现实生活中...我希望这个用户受到超级限制....只能运行此任务,没有登录权限,除了一个批处理文件之外没有文件系统权限....
我到处寻找一份文档,上面写着“这是最精简的、可以运行任务的基本用户”......
好像没有这个文件啊!
有什么建议吗?
谢谢!
答案1
除了文件系统权限之外,您还需要允许Log on as a batch job
。它控制是否允许为计划任务创建会话。
当您创建任务时,任务调度程序应该将用户放入该允许列表中。您可以使用本地安全策略工具进行确认。另一种可能性是它是通过组策略配置的,在这种情况下,请在结果策略集中进行一些挖掘并找到需要更改的 GPO。
还有一件事:检查 上的权限c:\windows\system32\cmd.exe
。它们很奇怪。如果您已将用户从Users
组中删除,则默认情况下它无法运行 cmd.exe,这往往是运行批处理文件的重要部分。将用户添加到该 ACL,并具有读取/执行权限。检查批处理文件需要接触的所有可执行文件。