既定では、スケジュールされたタスクは、そのタスクをスケジュールしたユーザーのセキュリティ コンテキスト内で実行され、タスクがトリガーされた時点でそのユーザーがログオンしている場合にのみ実行されます。これを変更するには、タスクのプロパティを表示し、[全般] タブの [セキュリティ オプション] の設定を変更します。

[ユーザーまたはグループの変更] をクリックすることにより、どのユーザー アカウントまたはグループ アカウントでタスクを実行するかを選択できます。ユーザー アカウントが Administrators グループのメンバーでない場合、ボタンのラベルは [ユーザーの変更] になります。Administrators グループのメンバーでないユーザー アカウントは、タスクを実行するユーザー アカウントの指定のみが可能です。

タスクのセキュリティ コンテキストに対して Administrators グループを使用してタスクが登録されている場合、タスクを実行するには、[最上位の特権で実行する] チェック ボックスがオンになっていることも確認する必要があります。

スケジュールされたタスクを実行するアカウントが、タスクがトリガーされた時点でログオンしていない場合でもタスクを実行するように指定することができます。そのためには、[ユーザーがログオンしているかどうかにかかわらず実行する] をクリックします。このオプションが選択されている場合、タスクは対話的に実行されません。タスクを対話的に実行させるようにするには、[ユーザーがログオンしているときのみ実行する] をクリックします。

[ユーザーがログオンしているかどうかにかかわらず実行する] オプションが選択されている場合、[パスワードを保存しない] チェック ボックスを選択しているかどうかに関係なく、タスクの保存時にアカウントの資格情報の入力を求められる場合があります。対応するタスクがトリガーされた時点でアカウントがログオンしていない場合、サービスは指定されたアカウントとして保存された資格情報を使用し、タスクを実行します。また、取得したトークンの使用に関する制約はありません。

[パスワードを保存しない] チェック ボックスをオンにすると、タスク スケジューラは入力された資格情報をローカル コンピューターに保存せず、ユーザーの認証が正しく行われた後にその情報を破棄します。タスクの実行が要求されると、タスク スケジューラ サービスは Kerberos 認証プロトコルの "Service-for-User" (S4U) 拡張機能を使用してユーザーのトークンを取得します。

S4U を使用しているとき、アカウントのセキュリティ コンテキストをサービスが使用するには制約があります。特に、サービスはローカル リソースにアクセスするセキュリティ コンテキストのみが使用できます。

  • タスクがネットワーク リソースにアクセスする必要がある場合、S4U を使用できません。使用するとタスクは失敗します。唯一の例外は、操作に関係するコンピューターの間で制限付き委任が確立されているケースです。
  • S4U 機能を利用できる環境は、ドメイン内のすべてのドメイン コントローラー (DC) が Windows Server 2003 以降のオペレーティング システムを実行している環境に限られます。
  • S4U 機能を使用している場合、タスクは暗号化されたファイルにアクセスできません。

S4U 機能を使用する場合は、[バッチ ジョブとしてログオン] ポリシーがユーザーに対して設定されていることを確認してください。このポリシーにアクセスするには、[コントロール パネル]、[管理ツール]、[ローカル セキュリティ ポリシー] の順に開きます。[ローカル セキュリティ ポリシー] ウィンドウで、[ローカル ポリシー]、[ユーザー権利の割り当て]、[バッチ ジョブとしてログオン] の順にクリックします。

Kerberos の S4U 拡張機能の詳細については、RFC 1510 に関するページ (英語の可能性あり) を参照してください。

[最上位の特権で実行する] チェック ボックスをオンにすると、タスク スケジューラは、最小限の特権 (UAC) トークンではなく管理者特権トークンを使用してタスクを実行します。管理者特権で実行するタスクは、操作を完了するために管理者特権が必要なタスクのみに限定する必要があります。詳細については、ユーザー アカウントの制御に関するページ (英語の可能性あり) を参照してください。