我希望在我的 Win 2003 服务器上安排一个不使用密码的 bat 文件。要求是每天在特定时间运行它。我们使用过期密码,但没有非过期帐户。我计划以 SYSTEM 用户身份使用计划任务来安排此操作。对我来说,它运行良好。
但是,使用 SYSTEM 用户会产生什么影响?有什么需要注意的吗?代码肯定不是恶意的!但是,我不希望影响我的 Win 2003 服务器上的其他用户/应用程序。
有人知道影响的详细情况吗?
答案1
以系统身份运行计划任务的影响在于,系统是一个具有极高权限的帐户。甚至比管理员权限还要强大。这意味着,如果您的计划任务配置错误,或者您的批处理文件中插入了恶意内容等,您的计划任务将拥有彻底破坏系统所需的所有权限。
以非特权用户身份运行计划任务可确保其对系统造成的损害程度有限。
这只是最佳实践之一,安全总比后悔好。话虽如此,人们仍然一直以系统身份运行计划任务。有时我也会这样做。
答案2
使用系统帐户本身并没有什么问题 - 它是一个具有极高权限的帐户,甚至比本地管理员组的权限还高。
最重要的是确保不仅脚本/可执行文件本身是干净的,而且它所使用的输入(如果有)也是干净的。
根据您的使用情况,使用其他安全原则(例如网络服务帐户)可能会更好。
有关详细信息,请参阅 Microsoft 的页面服务用户帐户。如果可能的话,这些事情会比您需要跟踪密码的专用用户容易得多。
编辑:
抱歉,我忘记了 2003 年不能使用这些帐户。此功能于 2008 年推出。请参阅计划任务可以作为网络服务运行吗?
也认真考虑从 2003 开始升级。