Iniciar sesión como trabajo por lotes
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Iniciar sesión como proceso por lotes.
Referencia
Esta configuración de directiva determina qué cuentas pueden iniciar sesión mediante una herramienta de cola de lotes, como por ejemplo el servicio Programador de tareas. Cuando usas el Asistente para agregar tareas programadas para así poder programar una tarea que se ejecutará con un nombre de usuario y contraseña específicos, se asigna automáticamente a ese usuario el derecho Iniciar sesión como proceso por lotes. Cuando llega la hora programada, el servicio Programador de tareas inicia la sesión del usuario como un trabajo por lotes en lugar de como un usuario interactivo y la tarea se ejecuta en el contexto de seguridad del usuario.
Constante: SeBatchLogonRight
Valores posibles
Lista de cuentas definidas por el usuario
Valores predeterminados
Sin definir
Procedimientos recomendados
- Por motivos de seguridad, se discreto cuando asignes este derecho a usuarios específicos. De todos modos, en la mayoría de los casos las configuraciones predeterminadas suelen ser suficientes.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración se aplica a los administradores, los operadores de copia de seguridad y los usuarios del registro de rendimiento que se encuentran en los controladores de dominio y en los servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores Operadores de copia de seguridad Usuarios del registro de rendimiento |
Configuración predeterminada del servidor independiente |
Administradores Operadores de copia de seguridad Usuarios del registro de rendimiento |
Configuración predeterminada eficaz del controlador de dominio |
Administradores Operadores de copia de seguridad Usuarios del registro de rendimiento |
Configuración predeterminada eficaz del servidor miembro |
Administradores Operadores de copia de seguridad Usuarios del registro de rendimiento |
Configuración predeterminada eficaz del equipo cliente |
Administradores |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
El Programador de tareas concede automáticamente este derecho cuando un usuario programa una tarea. Para invalidar este comportamiento, use la configuración Denegar el inicio de sesión como trabajo por lotes de la opción Asignación de derechos de usuario.
La configuración de la directiva de grupo se aplica en el siguiente orden y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
El derecho de usuario Iniciar sesión como trabajo por lotes es un punto débil de bajo riesgo. La configuración predeterminada suele ser suficiente para la mayoría de las organizaciones. Asimismo, los miembros del grupo de administradores local poseen este derecho de forma predeterminada.
Contramedidas
Si deseas permitir que las tareas programadas se ejecuten en cuentas de usuario específicas, te aconsejamos que permitas que el equipo administre este derecho de usuario automáticamente. Si no deseas usar el Programador de tareas de esta manera, configura el derecho de usuario denominado Iniciar sesión como trabajo por lotes únicamente en la cuenta de servicio local.
En cuanto a los servidores IIS, debes configurar esta directiva de forma local en lugar de hacerlo a través de la configuración de la directiva de grupo basada en el dominio; de esta manera, podrás asegurarte de que las cuentas locales IUSR_<ComputerName> e IWAM_<ComputerName> tienen este derecho de usuario.
Impacto potencial
Si configuras la directiva Iniciar sesión como trabajo por lotes mediante la configuración de la directiva de grupo basada en el dominio, el equipo no podrá asignar el derecho de usuario a las cuentas que se usan para trabajos programados en el Programador de tareas. Si instalas componentes opcionales como ASP.NET o IIS, debes asignar este derecho de usuario a aquellas cuentas adicionales que sean necesarias para estos componentes. Por ejemplo, en cuanto al componente IIS, es necesario asignar el derecho de usuario al grupo IIS_WPG y a las cuentas IUSR_<ComputerName>, ASPNET e IWAM_<ComputerName>. Si este derecho de usuario no se asigna a este grupo y a estas cuentas, IIS no podrá ejecutar algunos objetos COM que son necesarios para que funcione correctamente.