我正在尝试通过组策略(计算机配置\首选项\控制面板设置\计划任务)创建一个计划任务,以指定的域服务帐户运行。
但是,当组策略尝试创建任务时,它会失败并出现以下错误。
“组策略对象未应用,因为它失败,错误代码为‘0x80070005 访问被拒绝’。”
这是组策略中的计划任务的样子。
如果在客户端上配置了该任务(存储了 svc_hpia 密码),则该任务可以正常工作
但通过组策略配置任务时不需要密码
如果我告诉它使用 NTAUTHORITY\SYSTEM 帐户,组策略计划任务确实会被添加,但从安全角度来看这并不可取。
有什么方法可以使用我指定的服务帐户来创建计划任务吗?
答案1
答案2
无法将凭据传递给 GPO 内的计划任务。“不存储密码”复选框被选中并显示为灰色,因此您无法更改它,这也表明了这一点。
这是出于安全原因而设计的。虽然不是最理想的,但如果您仍想通过 GPO 执行此操作,唯一的解决方案是在 NTAUTHORITY 下安排它。
如果不需要提升计算机上的权限,也可以考虑不要使用 SYSTEM,而是使用本地服务或网络服务。