Uma tarefa agendada é, por predefinição, executada dentro do contexto de segurança do utilizador que agendou a tarefa e só é executada se esse utilizador tiver sessão iniciada quando a tarefa é accionada. Para mudar isso, altere as definições na secção Opções de segurança do separador Geral quando estiver a visualizar as propriedades de uma tarefa.

Pode seleccionar uma conta de utilizador ou de grupo diferente para uma tarefa ser executada clicando no botão Alterar Utilizador ou Grupo. O botão será intitulado Alterar Utilizador se a conta de utilizador não for membro do grupo Administradores. As contas de utilizador que não estão no grupo Administradores apenas podem especificar uma conta de utilizador para a execução de uma tarefa.

Nota

Se uma tarefa for registada utilizando o grupo Administradores para o contexto de segurança da tarefa, certifique-se também de que a caixa de verificação Executar com os privilégios máximos está marcada se pretender executar a tarefa.

Pode especificar que uma tarefa deve ser executada mesmo que a conta no âmbito da qual está agendada a execução da tarefa não tenha sessão iniciada quando a tarefa é accionada. Para o fazer, seleccione o botão de opção intitulado Executar independentemente de o utilizador ter sessão iniciada. Se este botão de opção for seleccionado, as tarefas não serão executadas interactivamente. Para fazer com que uma tarefa seja executada interactivamente, seleccione o botão de opção Executar apenas quando o utilizador tiver sessão iniciada.

Quando a opção Executar independentemente de o utilizador ter sessão iniciada é seleccionada, pode ser-lhe pedido que forneça as credenciais da conta quando guardar a tarefa, independentemente de seleccionar ou não a caixa de verificação intitulada Não armazenar a palavra-passe. Se a conta não tiver sessão iniciada quando a tarefa correspondente é accionada, o serviço utilizará as credenciais guardadas para executar como a conta especificada e terá utilização sem restrições do token resultante.

Se seleccionar a caixa de verificação intitulada Não armazenar a palavra-passe, o Programador de Tarefas não armazenará as credenciais fornecidas pelo computador local, mas rejeitá-las-á depois de autenticar adequadamente o utilizador. Quando lhe for pedido para executar a tarefa, o serviço Programador de Tarefas utilizará as extensões “Service-for-User” (S4U) para o protocolo de autenticação Kerberos, para obter o token do utilizador.

Quando é utilizado S4U, a capacidade do serviço em utilizar o contexto de segurança da conta é limitada. Em particular, o serviço só pode utilizar o contexto de segurança para aceder a recursos locais.

Notas
  • Se a tarefa requerer acesso a recursos da rede, não poderá utilizar o S4U; se o fizer, a tarefa falhará. A única excepção é o caso em que foi estabelecida delegação restrita entre os computadores envolvidos na operação.
  • A funcionalidade S4U só está disponível dentro de um ambiente em que todos os controladores do domínio estão a executar o sistema operativo Windows Server 2003 ou posterior.
  • Se estiver a utilizar a funcionalidade S4U, a tarefa não terá acesso a ficheiros encriptados.

Se estiver a utilizar a funcionalidade S4U, certifique-se de que a política Iniciar sessão como tarefa batch está definida para o utilizador. A política é acessível abrindo o Painel de Controlo, Ferramentas administrativas e, em seguida, Política de Segurança Local. Na janela Política de Segurança Local, clique em Política Local, Atribuição de direitos de utilizadores e, em seguida, Iniciar sessão como tarefa batch.

Para mais informações sobre as extensões Kerberos S4U, consulte RFC 1510.

Se seleccionar a caixa de verificação intitulada Executar com os privilégios máximos, o Programador de Tarefas executará a tarefa utilizando um token de privilégios elevados, em vez do token de privilégios mínimos (UAC). Apenas devem ser executadas com privilégios elevados as tarefas que requerem privilégios elevados para concluir as acções. Para mais informações, consulte Controlo de Conta de Utilizador.

Sumário