增强Windows计划任务执行用户的安全性

为了避免计划任务执行与当前登录到Windows桌面的用户操作之间的相互干扰(在Win2003上, 如果计划任务的执行用户和当前桌面登录用户相同, 计划任务执行时的命令执行窗口会显示在该用户登录的桌面上, Win2008似乎没有这个问题), 一般需要为计划任务专门指定一个用户, 我习惯于叫cron;

为了方面任务的执行, 通常会简单的把这个用户归到Administrators组, 考虑到Administrators组用户的权限很大, 因此对这个cron帐号需要进行一定的安全控制, 简单的来说就是"限制该用户登录到服务器":

  • 用于计划任务执行用户的创建:
  • 该用户划入管理员组:
  • 通过"组策略编辑器"(gpedit.msc)设置"拒绝本地登录":
  • 通过"组策略编辑器"(gpedit.msc)设置"拒绝从网络访问":
  • 终端服务配置中设置RDP-Tcp连接的访问权限:

经过以上配置, 实际测试该用户无法使用终端服务登录服务器, 这个帐号可以比较安全的用于计划任务了:

Attachments (6)

Download all attachments as: .zip

Comments

No comments.