バッチ ジョブとしてのログオンを拒否
[バッチ ジョブとしてのログオンを拒否] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、バッチ キュー ツールを使ってジョブをスケジュールし、後で自動的に起動することによってログオンすることをできないようにする、対象のアカウントを決定します。バッチ キュー ツールを使用してログオンする機能は、タスク スケジューラを使用してスケジュールされたジョブを開始するために使用するすべてのアカウントに必要です。
定数: SeDenyBatchLogonRight
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
このユーザー権利を割り当てる際に、その効果が意図したものであるかを十分にテストします。
ドメイン内で、該当するグループ ポリシー オブジェクト (GPO) 上のこの設定を変更します。
[バッチ ジョブとしてのログオンを拒否] は、管理者またはオペレーターが、個人のアカウントを使用してタスクをスケジュールできないようにします。これは、その人が他のポジションまたは役割に移行する際に、ビジネスの継続性に役立ちます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立てるために利用可能な機能とツールについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
このポリシー設定は、[バッチ ジョブとしてログオン] 設定と競合し、これを無効にします。
グループ ポリシー
ドメインに参加しているデバイス (ドメイン コント ローラーを含む) では、このポリシーは、ドメインのポリシーによって上書きされる場合があり、これによりローカル ポリシーの設定の変更ができなくなります。
たとえば、ドメイン コント ローラーでタスク スケジューラを構成しようとしている場合は、グループ ポリシー管理コンソール (GPMC) の 2 つのドメイン コントローラー ポリシーとドメイン ポリシー GPO の [設定] タブを確認します。[バッチ ジョブとしてのログオンを拒否] ユーザー権利の割り当てに対象のアカウントが存在しないことを確認し、[バッチ ジョブとしてログオン] 設定に正しく構成されていることも確認します。
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[バッチ ジョブとしてのログオンを拒否] ユーザー権利を持つアカウントは、過剰なコンピューターのリソースを消費してサービス拒否状態を発生させる可能性があるジョブをスケジュールするために使用される可能性があります。
対策
[バッチ ジョブとしてのログオンを拒否] ユーザー権利を、ローカルの Guest アカウントに割り当てます。
考えられる影響
[バッチ ジョブとしてのログオンを拒否] ユーザー権利を他のアカウントに割り当てる場合、特定の管理に関する役割に割り当てられているユーザーに必要なジョブのアクティビティを実行する機能を拒否することができます。委任されたタスクが悪影響を受けないことを確認する必要があります。