Fazer logon como um trabalho em lotes
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Fazer logon como um trabalho em lotes.
Referência
Esta configuração de política determina quais contas podem fazer logon usando uma ferramenta de fila em lotes como o serviço de Agendador de Tarefas. Quando você usa o Assistente para Adicionar Tarefa Agendada para agendar uma tarefa para execução sob um determinado nome de usuário e senha, a esse usuário é atribuído automaticamente o direito de usuário Logon como um trabalho em lotes. Quando chega a hora agendada, o serviço de Agendador de Tarefas faz logon do usuário como um trabalho em lote, em vez de como um usuário interativo, e a tarefa é executada no contexto de segurança do usuário.
Constante: SeBatchLogonRight
Valores possíveis
Lista de contas definida pelo usuário
Valores padrão
Não definido
Práticas recomendadas
- Tenha critério ao atribuir esse direito a usuários específicos por motivos de segurança. As configurações padrão são suficientes na maioria dos casos.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, essa configuração é para Administradores, Operadores de Backup e Usuários de Log de Desempenho em controladores de domínio e em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
Não definido |
Política de Controlador de Domínio Padrão |
Administradores Operadores de Backup Usuários de Log de Desempenho |
Configurações Padrão de Servidor Autônomo |
Administradores Operadores de Backup Usuários de Log de Desempenho |
Configurações Padrão Efetivas do Controlador de Domínio |
Administradores Operadores de Backup Usuários de Log de Desempenho |
Configurações Padrão Efetivas do Servidor Membro |
Administradores Operadores de Backup Usuários de Log de Desempenho |
Configurações Padrão Efetivas do Computador Cliente |
Administradores |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar esta política.
Não é necessário reiniciar o computador para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
O Agendador de Tarefas concede esse direito automaticamente quando um usuário agenda uma tarefa. Para substituir esse comportamento, use a configuração de Atribuição de Direitos de Usuário Negar logon como um trabalho em lotes.
As configurações da Política de Grupo são aplicadas na seguinte ordem, o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
O direito de usuário Logon como um trabalho em lotes apresenta uma vulnerabilidade de baixo risco. Para a maioria das organizações, as configurações padrão são suficientes. Membros do grupo local Administradores têm esse direito por padrão.
Contramedida
Permita que o computador gerencie esse direito de usuário automaticamente, se você deseja permitir que as tarefas agendadas sejam executadas em contas de usuário específicas. Se você não quiser usar o Agendador de Tarefas dessa maneira, configure o direito de usuário Logon como um trabalho em lotes apenas para a conta de serviço local.
Para os servidores do IIS, você deve configurar essa política localmente, em vez de por meio de configurações de Política de Grupo baseadas em domínio, para que possa garantir que as contas IUSR_<ComputerName> e IWAM_<ComputerName> locais tenham esse direito de usuário.
Impacto em potencial
Se você definir a configuração Logon como um trabalho em lotes usando as configurações de Política de Grupo baseadas em domínio, o computador não poderá atribuir o usuário diretamente a contas que são usadas para trabalhos agendados no Agendador de Tarefas. Se você instalar componentes opcionais, como ASP.NET ou IIS, talvez seja necessário atribuir esse direito de usuário a contas adicionais que são necessários para esses componentes. Por exemplo, o IIS requer a atribuição deste direito de usuário ao grupo IIS_WPG e às contas IUSR _<ComputerName>, ASPNET e IWAM _<ComputerName>. Se esse direito de usuário não for atribuído a esse grupo e a essas contas, o IIS não poderá executar alguns objetos COM que são necessários para a funcionalidade correta.