Una tarea programada se ejecuta de manera predeterminada dentro del contexto de seguridad del usuario que programó la tarea y únicamente se ejecuta si ese usuario tiene una sesión iniciada cuando se desencadene la tarea. Para modificar esto, cambie la configuración de la sección Opciones de seguridad de la ficha General cuando se muestren las propiedades de una tarea.

Puede seleccionar una cuenta de usuario o grupo diferente para una tarea bajo la que se ejecute una tarea haciendo clic en el botón Cambiar usuario o grupo. El botón se denominará Cambiar usuario si la cuenta de usuario no es miembro del grupo Administradores. Las cuentas de usuario que no se encuentran en el grupo Administradores únicamente pueden especificar una cuenta de usuario bajo la que se puede ejecutar una tarea.

Nota

Si una tarea se ha registrado mediante el grupo Administradores para el contexto de seguridad de la tarea, también debe asegurarse de activar la casilla Ejecutar con los privilegios más altos si desea ejecutarla.

Puede especificar que debe ejecutarse una tarea incluso si la cuenta bajo la que está programada la ejecución de la tarea no tiene iniciada una sesión cuando se desencadene la tarea. Para ello, seleccione el botón de radio denominado Ejecutar tanto si un usuario inició sesión como si no. Si este botón de radio está activado, las tareas no se ejecutarán de manera interactiva. Para que una tarea se ejecute de manera interactiva, active el botón de radio Ejecutar sólo cuando el usuario haya iniciado la sesión.

Si la opción Ejecutar tanto si un usuario inició sesión como si no está activada, es posible que se le solicite que suministre las credenciales de la cuenta al guardar la tarea, independientemente de si activa o no la casilla No almacenar contraseña. Si la cuenta no tiene iniciada una sesión cuando se desencadena la tarea correspondiente, el servicio utilizará las credenciales guardadas para ejecutarse como la cuenta especificada y tendrá un uso no restringido del token resultante.

Si activa la casilla denominada No almacenar contraseña, el Programador de tareas no almacenará las credenciales suministradas en el equipo local, sino que las descartará después de autenticar correctamente al usuario. Cuando se necesite para ejecutar la tarea, el servicio Programador de tareas usará las extensiones de “Service-for-User” (S4U) para el protocolo de autenticación Kerberos con el fin de recuperar el símbolo (token) del usuario.

Al usar S4U, la capacidad del servicio de utilizar el contexto de seguridad de la cuenta se ve limitada. En concreto, el servicio únicamente puede utilizar el contexto de seguridad para obtener acceso a los recursos locales.

Notas
  • Si la tarea necesita el acceso a los recursos de red, no puede usar S4U; de lo contrario, la tarea generará un error. La única excepción es cuando se estableció la delegación limitada entre los equipos que participan en la operación.
  • La funcionalidad de S4U únicamente está disponible dentro de un entorno en el que todos los controladores de dominio del dominio ejecutan Windows Server 2003 o un sistema operativo posterior.
  • Si está utilizando la funcionalidad de S4U, la tarea no tendrá acceso a archivos cifrados.

Si está usando la funcionalidad S4U, asegúrese de que la directiva Iniciar sesión como proceso por lotes esté establecida para el usuario. Para obtener acceso a esta directiva, abra el Panel de control, Herramientas administrativas y, a continuación, Directiva de seguridad local. En la ventana Directiva de seguridad local, haga clic en Directiva local, Asignación de derechos de usuario y, a continuación, Iniciar sesión como proceso por lotes.

Para obtener más información acerca de las extensiones de Kerberos S4U, consulte RFC 1510 (puede estar en inglés).

Si activa la casilla Ejecutar con los privilegios más altos, el Programador de tareas ejecutará la tarea mediante el uso de un símbolo (token) de privilegios elevados en lugar de un símbolo (token) de privilegios mínimos (UAC). Únicamente las tareas que requieren privilegios elevados para completar sus acciones deben ejecutarse con privilegios elevados. Para obtener más información, consulte Control de cuentas de usuario (puede estar en inglés).