Anmelden als Batchauftrag verweigern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anmelden als Batchauftrag verweigern beschrieben.
Referenz
Mit dieser Richtlinieneinstellung wird festgelegt, welche Konten am Anmelden mit einer Stapelverarbeitungs-Warteschlange zum Planen und automatischen Starten von Aufträgen in der Zukunft gehindert werden. Die Fähigkeit, sich mit einer Stapelverarbeitungs-Warteschlange anzumelden, wird für jedes Konto benötigt, mit dem geplante Aufträge über die Aufgabenplanung gestartet werden.
Konstante: SeDenyBatchLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Beim Zuweisen dieser Berechtigung müssen Sie gründlich testen, ob die Auswirkungen Ihren Absichten entsprechen.
Ändern Sie diese Einstellung in einer Domäne für das entsprechende Gruppenrichtlinienobjekt (GPO).
Anmelden als Batchauftrag verweigern hindert Administratoren oder Operatoren daran, Aufgaben mit ihren persönlichen Konten zu planen. Damit wird der reibungslose Ablauf geschäftlicher Aktivitäten sichergestellt, wenn eine Person andere Funktionen oder Zuständigkeiten übernimmt.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features und Tools beschrieben, mit denen diese Richtlinie verwaltet wird.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Diese Richtlinieneinstellung kann einen Konflikt mit der Einstellung Anmelden als Stapelverarbeitungsauftrag verursachen und diese außer Kraft setzen.
Gruppenrichtlinie
Auf einem Gerät in einer Domäne (einschließlich des Domänencontrollers) kann dieser Richtlinie durch eine Domänenrichtlinie überschrieben werden, die das Ändern der lokalen Richtlinieneinstellung verhindert.
Wenn Sie versuchen, auf dem Domänencontroller die Aufgabenplanung zu konfigurieren, prüfen Sie die Registerkarte „Einstellungen“ der zwei Gruppenrichtlinienobjekte für die Domänencontroller-Richtlinie und die Domänenrichtlinie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC). Vergewissern Sie sich, dass das gewünschte Konto in der Zuweisung von Benutzerrechten Anmelden als Batchauftrag verweigern nicht vorhanden und in der Einstellung Anmelden als Stapelverarbeitungsauftrag ordnungsgemäß konfiguriert ist.
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Mit Konten mit dem Benutzerrecht Anmelden als Batchauftrag verweigern können Aufträge geplant werden, die übermäßig viele Computerressourcen verbrauchen und einen Denial-of-Service-Zustand verursachen.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Anmelden als Batchauftrag verweigern dem lokalen Gastkonto zu.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Anmelden als Batchauftrag verweigern anderen Konten zuweisen, könnten Sie möglicherweise Benutzern mit bestimmten Administratorrollen die Fähigkeit verweigern, erforderliche Aktivitäten auszuführen. Sie müssen sich vergewissern, dass delegierte Aufgaben nicht beeinträchtigt werden.