通过 GPO 创建 Windows 计划任务以指定用户身份运行

通过 GPO 创建 Windows 计划任务以指定用户身份运行

我正在尝试通过组策略(计算机配置\首选项\控制面板设置\计划任务)创建一个计划任务,以指定的域服务帐户运行。

但是,当组策略尝试创建任务时,它会失败并出现以下错误。

“组策略对象未应用,因为它失败,错误代码为‘0x80070005 访问被拒绝’。”

这是组策略中的计划任务的样子。

组策略中的计划任务

如果在客户端上配置了该任务(存储了 svc_hpia 密码),则该任务可以正常工作

但通过组策略配置任务时不需要密码

如果我告诉它使用 NTAUTHORITY\SYSTEM 帐户,组策略计划任务确实会被添加,但从安全角度来看这并不可取。

有什么方法可以使用我指定的服务帐户来创建计划任务吗?

答案1

这是一个 GPP,对吗?

为了避免此问题,在配置用户 GPP 计划任务项时不要启用在登录用户的安全上下文中运行(用户策略选项)常用选项。

直接取自马嘴

答案2

无法将凭据传递给 GPO 内的计划任务。“不存储密码”复选框被选中并显示为灰色,因此您无法更改它,这也表明了这一点。

这是出于安全原因而设计的。虽然不是最理想的,但如果您仍想通过 GPO 执行此操作,唯一的解决方案是在 NTAUTHORITY 下安排它。

如果不需要提升计算机上的权限,也可以考虑不要使用 SYSTEM,而是使用本地服务或网络服务。

相关内容