任务计划程序 VS GPO 不允许存储密码

任务计划程序 VS GPO 不允许存储密码

我在我的一个 DC 中有一个计划任务,每天运行以检查每个 DC 中 AD 帐户的 LastLogon 日期。

该任务以前在 Win 2003 DC 中运行没有问题,但现在我们要将其分解。自从迁移到 Win 2008 R2 以来,我面临一些限制:

  1. 我们的环境确实启用了以下 GPO:网络访问:不允许存储网络身份验证的密码和凭据。这限制了我选择“无论用户是否登录都运行”,而无需勾选“不存储密码”。

  2. 如果我勾选“不存储密码”,该任务就不会运行,因为它将从其他 DC 检索信息。

结果:我只能选择“仅在用户登录时运行”,并且如其所述,只有当服务 ID 登录到 DC 时,任务才会运行。该任务非常关键,并且由于会话会不时注销(由操作员或服务器重新启动),因此无法保证该任务每天都会运行。

我想知道如果不禁用此 GPO,是否有其他解决方法?(顺便问一下,为什么 Win 2003 不受此影响?)我相信您的所有系统都应该有大量的计划任务,您的所有系统管理员如何处理这些任务?您是否说服您的安全团队您需要禁用 GPO?(只有在没有其他解决方案的情况下我才会尝试这样做)

提前致谢。

相关内容