Une tâche planifiée, par défaut, s’exécute au sein du contexte de sécurité de l’utilisateur qui a planifié la tâche et ne s’exécute que si l’utilisateur est connecté quand la tâche est déclenchée. Pour ce faire, modifiez les paramètres dans la section Options de sécurité de l’onglet Généralités quand les propriétés d’une tâche sont affichées.
Vous pouvez sélectionner un autre compte d’utilisateur ou de groupe sous lequel exécuter une tâche en cliquant sur le bouton Modifier un utilisateur ou un groupe. Le bouton sera intitulé Modifier un utilisateur si votre compte d’utilisateur n’est pas membre du groupe Administrateurs. Les comptes d’utilisateurs ne figurant pas dans le groupe Administrateurs peuvent uniquement spécifier un compte d’utilisateur sous lequel exécuter une tâche.
Remarques | |
Si une tâche est inscrite en utilisant le groupe Administrateurs comme contexte de sécurité de la tâche, vous devez également vous assurer que la case à cocher Exécuter avec les autorisations maximales est activée, si vous voulez exécuter la tâche. |
Vous pouvez spécifier qu’une tâche doit s’exécuter même si le compte sous lequel la tâche est planifiée n’est pas connecté quand la tâche est planifiée. Pour ce faire, sélectionnez le bouton radio portant l’indication Exécuter même si aucun utilisateur n’a ouvert de session. En sélectionnant ce bouton radio, les tâches s’exécuteront de manière interactive. Pour qu’une tâche s’exécute de manière interactive, sélectionnez le bouton radio N’exécuter que si un utilisateur a ouvert une session.
Quand l’option Exécuter même si aucun utilisateur n’a ouvert de session est sélectionnée, vous serez peut-être invité à fournir les informations d’identité du compte en enregistrant la tâche, que la case portant l’indication Ne pas stocker le mot de passe soit sélectionnée ou non. Si le compte n’est pas sélectionné quand la tâche correspondante est déclenchée, le service utilisera les informations d’identification enregistrées pour s’exécuter en tant que compte spécifié et fera un usage spontané du jeton engendré.
En sélectionnant la case portant l’indication Ne pas stocker le mot de passe, le Planificateur de tâches ne stockera pas les informations d’identification fournies sur l’ordinateur local, mais les ignorera après avoir procédé à l’authentification en bonne et due forme de l’utilisateur. Lorsqu’il vous est demandé d’exécuter la tâche, le service Planificateur de tâches utilisera les extensions « Service à l’utilisateur » (S4U) sur le protocole d’authentification Kerberos pour récupérer le jeton de l’utilisateur.
Lors de l’utilisation de S4U, la capacité du service à utiliser le contexte de sécurité du compte est contrainte. En particulier, le service peut uniquement utiliser le contexte de sécurité pour accéder aux ressources locales.
Remarque | |
|
En utilisant la fonctionnalité S4U, veillez à ce que la stratégie Ouvrir une session en tant que tâche soit configurée pour l’utilisateur. Cette stratégie est accessible en ouvrant le Panneau de configuration, Outils d’administration, puis Stratégie de sécurité locale. Dans la fenêtre Stratégie de sécurité locale, cliquez sur Stratégie locale, Attribution des droits utilisateur, puis sur Ouvrir une session en tant que tâche.
Pour plus d’informations sur les extensions Kerberos S4U, voir
En sélectionnant la case portant l’indication Exécuter avec les autorisations maximales, le Planificateur de tâches exécutera la tâche à l’aide du jeton de privilèges élevés plutôt que d’un jeton de privilège minimum. Seules les tâches qui requièrent des privilèges élevés pour mener leurs actions doivent s’exécuter avec des privilèges élevés. Pour plus d’informations, voir