Negar logon como um trabalho em lotes
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Negar logon como um trabalho em lotes.
Referência
Esta configuração de política determina quais contas são impedidas de fazer logon usando uma ferramenta de fila de lotes para agendar e iniciar trabalhos automaticamente no futuro. A capacidade de fazer logon usando uma ferramenta de fila de lotes é necessária para qualquer conta que seja usada para iniciar trabalhos agendados pelo Agendador de Tarefas.
Constante: SeDenyBatchLogonRight
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
Quando você atribuir esse direito de usuário, teste minuciosamente se o efeito é o que você pretendia.
Em um domínio, modifique essa configuração no Objeto de Política de Grupo (GPO) aplicável.
Negar logon como um trabalho em lotes impede que os administradores ou operadores usem suas contas pessoais para agendar tarefas, o que ajuda com a continuidade dos negócios quando essa pessoa faz a transição para outros cargos ou responsabilidades.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
A tabela a seguir lista os valores de política padrão reais e efetivos para as versões mais recentes do Windows com suporte. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de Domínio Padrão |
Não definido |
Política de Controlador de Domínio Padrão |
Não definido |
Configurações Padrão de Servidor Autônomo |
Não definidos |
Configurações Padrão Efetivas de Controlador de Domínio |
Não definidos |
Configurações Padrão Efetivas do Servidor Membro |
Não definidos |
Configurações Padrão Efetivas do Computador Cliente |
Não definidos |
Gerenciamento de políticas
Esta seção descreve recursos e ferramentas disponíveis que ajudam você a gerenciar essa política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Essa configuração de política pode entrar em conflito com a configuração Fazer logon como um trabalho em lotes e negá-la.
Política de Grupo
Em um dispositivo associado a um domínio, incluindo o controlador de domínio, essa política pode ser substituída por uma política de domínio, o que impedirá a modificação da configuração de política local.
Por exemplo, se você estiver tentando configurar o Agendador de tarefas em seu controlador de domínio, verifique a guia Configurações de seus dois GPOs de política de controlador de domínio e de política de domínio no Console de Gerenciamento de Política de Grupo (GPMC). Verifique se a conta de destino não está presente na atribuição de direitos de usuário Negar logon como um trabalho em lotes e também definida corretamente na configuração Fazer logon como um trabalho em lotes.
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Contas que tenham o direito de usuário Negar logon como um trabalho em lotes podem ser usadas para agendar trabalhos que podem consumir recursos excessivos do computador e causar uma condição de negação de serviço.
Contramedida
Atribuir o direito de usuário Negar logon como um trabalho em lotes para a conta Convidado local.
Impacto em potencial
Se você atribuir o direito de usuário Negar logon como um trabalho em lotes a outras contas, poderá negar a capacidade de realizar atividades de trabalho necessárias aos usuários atribuídos com funções administrativas específicas. É necessário confirmar se atividades delegadas não foram afetadas negativamente.