The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

如何允許一般使用者設定工作排程器並以批次工作登入執行

我們有個客戶,他們的伺服器管理在資安方面控管十分嚴格,而且我們廠商也都沒有任何主機的管理者權限,若需要任何特殊的管理權限就必須要讓客戶端的維運人員進行委派設定才能使用,有一次我們需要設定工作排程器(Task Scheduler)定時執行特定的主控台應用程式(Console Applications),當設定完工作排程器之後卻發現無法以背景執行,也代表者使用者登入後就不能登出,不然就無法正常執行,但由於客戶的資安控管嚴格,任何遠端登入的工作階段狀態(Session)停留超過20分鐘就會自動登出,所以我們的主控台應用程式是絕對無法正常運作的,因此我便找出相關的設定方法提供給客戶的維運人員參考。

先示範發生錯誤的步驟畫面,在設定 工作排程器 (Task Schedulebr) 時,若選取 [不論使用者登入與否均執行] 選項,在儲存的時候就會提示你以下訊息:此工作需要指定的使用者帳戶具有「以批次工作登入」權限。如需有關設定此原則的詳細資訊,請參閱 [說明] 中的「工作資訊安全內容」主題。

此工作需要指定的使用者帳戶具有「以批次工作登入」權限。如需有關設定此原則的詳細資訊,請參閱 [說明] 中的「工作資訊安全內容」主題。

 

以下是設定讓一般使用者也能在背景以批次工作登入執行的方式:

1. 從 [系統管理工具] 開啟 [本機安全性原則]

[系統管理工具] / [本機安全性原則]

2. 開啟 [本機原則] / [使用者權限指派] 並找到 [以批次工作登入] (Logon as a batch job) 選項,並雙擊開啟設定視窗

開啟 [本機原則] / [使用者權限指派] 並找到 [以批次工作登入] (Logon as a batch job) 選項

3. 如下圖 [以批次工作登入 - 內容] 視窗裡,你會看到 Administrators、Performance Log Users 與 Backup Operators 這三個群組是內建的,你所看到其他的使用者與群組是安裝不同功能與服務角色後才加上的。在此,你可以點選 [新增使用者或群組] 按鈕,並新增使用者帳號或特定群組到這裡來。

以批次工作登入 - 內容

 

如此一來這些使用者或群組下的使用者就能夠在工作排程器裡正常選取 [不論使用者登入與否均執行] 選項,也會正常的以批次工作登入的方式執行程式了。

 

§ 注意事項 §
一般使用者有時候「讀取」的權限也很大,對於多人共用的主機來說必須妥善規劃才能開放此權限!

 

相關連結

留言評論