Anmelden als Stapelverarbeitungsauftrag

  • Artikel
  • 2 Minuten Lesedauer

Gilt für

  • Windows 11
  • Windows 10

In diesem Artikel werden die empfohlenen Methoden, Speicherorte, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Sicherheitsrichtlinieneinstellung Anmelden als Batchauftrag beschrieben.

Verweis

Diese Richtlinieneinstellung bestimmt, welche Konten sich mithilfe eines Batchwarteschlangentools wie dem Taskplanerdienst anmelden können. Wenn Sie den Assistenten zum Hinzufügen geplanter Aufgaben verwenden, um eine Aufgabe für die Ausführung unter einem bestimmten Benutzernamen und Kennwort zu planen, wird diesem Benutzer automatisch das Benutzerrecht Als Batchauftrag anmelden zugewiesen. Wenn die geplante Zeit eintrifft, meldet sich der Taskplanerdienst beim Benutzer als Batchauftrag statt als interaktiver Benutzer an, und die Aufgabe wird im Sicherheitskontext des Benutzers ausgeführt.

Konstante: SeBatchLogonRight

Mögliche Werte

  • Benutzerdefinierte Liste von Konten
  • Standardwerte
  • Nicht definiert

Bewährte Methoden

  • Entscheiden Sie sich aus Sicherheitsgründen, wenn Sie dieses Recht bestimmten Benutzern zuweisen. Die Standardeinstellungen sind in den meisten Fällen ausreichend.

Pfad

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Standardwerte

Standardmäßig gilt diese Einstellung für Administratoren, Sicherungsoperatoren und Leistungsprotokollbenutzer auf Domänencontrollern und auf eigenständigen Servern.

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Administratoren
Sicherungsoperatoren
Benutzer des Leistungsprotokolls
Standardeinstellungen für eigenständige Server Administratoren
Sicherungsoperatoren
Benutzer des Leistungsprotokolls
Effektive Standardeinstellungen für Domänencontroller Administratoren
Sicherungsoperatoren
Benutzer des Leistungsprotokolls
Effektive Standardeinstellungen für Mitgliedsserver Administratoren
Sicherungsoperatoren
Benutzer des Leistungsprotokolls
Effektive Standardeinstellungen für Clientcomputer Administratoren

Richtlinienverwaltung

In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.

Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam ist.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Der Taskplaner gewährt dieses Recht automatisch, wenn ein Benutzer eine Aufgabe plant. Um dieses Verhalten zu überschreiben, verwenden Sie die Einstellung Anmelden verweigern als Batchauftrag Zuweisung von Benutzerrechten.

Gruppenrichtlinie Einstellungen werden in der folgenden Reihenfolge angewendet, wodurch einstellungen auf dem lokalen Computer beim nächsten Gruppenrichtlinie Update überschrieben werden:

  1. Lokale Richtlinieneinstellungen
  2. Websiterichtlinieneinstellungen
  3. Domänenrichtlinieneinstellungen
  4. OE-Richtlinieneinstellungen

Sicherheitsüberlegungen

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder seine Konfiguration ausnutzen kann. Es wird beschrieben, wie die Gegenmaßnahme und die möglichen negativen Folgen von Gegenmaßnahmen angewendet werden.

Sicherheitsrisiko

Das Benutzerrecht Als Batchauftrag anmelden stellt eine Sicherheitslücke mit geringem Risiko dar, die es Nichtadministratoren ermöglicht, administratorähnliche Funktionen auszuführen. Wenn sie nicht entsprechend bewertet, verstanden und eingeschränkt werden, können Angreifer diesen potenziellen Angriffsvektor leicht ausnutzen, um Systeme, Anmeldeinformationen und Daten zu kompromittieren. Für die meisten Organisationen sind die Standardeinstellungen ausreichend. Mitglieder der lokalen Administratorgruppe verfügen standardmäßig über dieses Recht.

Gegenmaßnahme

Erlauben Sie dem Computer, dieses Benutzerrecht automatisch zu verwalten, wenn Sie die Ausführung geplanter Aufgaben für bestimmte Benutzerkonten zulassen möchten. Wenn Sie den Aufgabenplaner nicht auf diese Weise verwenden möchten, konfigurieren Sie das Recht Als Batchauftrag anmelden nur für das lokale Dienstkonto.

Konfigurieren Sie diese Richtlinie für IIS-Server lokal statt über domänenbasierte Gruppenrichtlinie Einstellungen, damit Sie sicherstellen können, dass die lokalen Konten IUSR_<ComputerName> und IWAM_<ComputerName> über dieses Benutzerrecht verfügen.

Mögliche Auswirkung

Wenn Sie die Einstellung Als Batchauftrag anmelden mithilfe domänenbasierter Gruppenrichtlinie-Einstellungen konfigurieren, kann der Computer konten, die für geplante Aufträge in der Aufgabenplanung verwendet werden, das Benutzerrecht nicht zuweisen. Wenn Sie optionale Komponenten wie ASP.NET oder IIS installieren, müssen Sie dieses Benutzerrecht möglicherweise anderen Konten zuweisen, die diese Komponenten benötigen. Iis erfordert beispielsweise die Zuweisung dieses Benutzerrechtes an die IIS_WPG-Gruppe und die Konten IUSR_<ComputerName>, ASPNET und IWAM_<ComputerName> . Wenn dieses Benutzerrecht dieser Gruppe und diesen Konten nicht zugewiesen ist, kann IIS einige COM-Objekte nicht ausführen, die für die ordnungsgemäße Funktionalität erforderlich sind.