Anmelden als Stapelverarbeitungsauftrag
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anmelden als Stapelverarbeitungsauftrag beschrieben.
Referenz
Diese Richtlinieneinstellung bestimmt, welche Konten sich mithilfe einer Stapelverarbeitungs-Warteschlange, z. B. dem Aufgabenplanungsdienst, anmelden können. Wenn Sie mit dem „Assistenten für geplante Aufgabe“ eine Aufgabe planen, die unter einem bestimmten Benutzernamen und -kennwort ausgeführt werden soll, wird diesem Benutzer automatisch das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag zugewiesen. Zum geplanten Zeitpunkt meldet der Aufgabenplanungsdienst den Benutzer als Stapelverarbeitung statt als interaktiven Benutzer an und die Aufgabe wird im Sicherheitskontext des Benutzers ausgeführt.
Konstante: SeBatchLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Standardwerte
Nicht definiert
Bewährte Methoden
- Weisen Sie dieses Recht bestimmten Benutzern aus Sicherheitsgründen mit Bedacht zu. In den meisten Fällen sind die Standardeinstellungen ausreichend.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Standardmäßig ist diese Einstellung für Administratoren, Sicherungs-Operatoren und Leistungsprotokollbenutzer auf Domänencontrollern und eigenständigen Servern vorgesehen.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Sicherungs-Operatoren Leistungsprotokollbenutzer |
Standardeinstellungen für eigenständige Server |
Administratoren Sicherungs-Operatoren Leistungsprotokollbenutzer |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Sicherungs-Operatoren Leistungsprotokollbenutzer |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Sicherungs-Operatoren Leistungsprotokollbenutzer |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Die Aufgabenplanung weist dieses Recht automatisch zu, wenn ein Benutzer eine Aufgabe plant. Mit der Einstellung für das „Zuweisen von Benutzerrechten“ Anmelden als Batchauftrag verweigern können Sie dieses Verhalten überschreiben.
Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge angewendet; hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag stellt ein geringes Sicherheitsrisiko dar. Für die meisten Unternehmen reichen die Standardeinstellungen aus. Mitglieder der lokalen Administratorengruppe verfügen standardmäßig über dieses Recht.
Gegenmaßnahme
Wenn Sie zulassen möchten, dass geplante Aufgaben für bestimmte Benutzerkonten ausgeführt werden, sollten Sie dem Computer gestatten, dieses Benutzerrecht automatisch zu verwalten. Wenn Sie die Aufgabenplanung nicht auf diese Weise verwenden möchten, konfigurieren Sie das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag nur für das lokale Dienstkonto.
Für IIS-Server sollten Sie diese Richtlinie nicht über domänenbasierte Gruppenrichtlinieneinstellungen, sondern lokal konfigurieren, um sicherzustellen, dass IUSR_<ComputerName>- und IWAM_<ComputerName>-Konten über dieses Benutzerrecht verfügen.
Mögliche Auswirkung
Wenn Sie die Einstellung Anmelden als Stapelverarbeitungsauftrag über domänenbasierte Gruppenrichtlinieneinstellungen konfigurieren, kann der Computer Konten, die für geplante Aufgaben in der Aufgabenplanung verwendet werden, das Benutzerrecht nicht zuweisen. Wenn Sie optionale Komponenten wie ASP.NET oder IIS installieren, müssen Sie möglicherweise dieses Benutzerrecht zusätzlichen Konten zuweisen, die von diesen Komponenten benötigt werden. IIS erfordert beispielsweise die Zuweisung dieses Benutzerrechts an die IIS_WPG-Gruppe und die IUSR_<ComputerName>-, ASPNET- und IWAM_<ComputerName>-Konten. Wenn dieses Benutzerrecht dieser Gruppe und diesen Konten nicht zugewiesen ist, kann IIS einige COM-Objekte nicht ausführen, die für eine ordentliche Funktionsweise benötigt werden.