Uma tarefa agendada, por padrão, é executada no contexto de segurança do usuário que a agendou, e somente é executada se esse usuário estiver conectado quando a tarefa for disparada. Para modificar isso, altere as configurações na seção Opções de segurança da guia Geral quando as propriedades da tarefa forem exibidas.

Você pode selecionar um usuário ou uma conta de grupo diferente para uma tarefa ser executada, clicando no botão Alterar Usuário ou Grupo. O botão será denominado Alterar Usuário se a conta de usuário não pertencer ao grupo Administradores. As contas de usuário que não pertencem ao grupo Administradores só podem especificar uma conta de usuário da tarefa para ser executada.

Observação

Se uma tarefa é registrada através do grupo Administradores para o contexto de segurança da tarefa, você deve também verificar se a caixa de seleção Executar com privilégios mais altos está marcada, para executar a tarefa.

Você pode especificar que uma tarefa deve ser executada, mesmo que a conta na qual a tarefa está agendada não esteja conectada quando a tarefa for disparada. Para fazer isso, selecione o botão de opção Executar estando o usuário conectado ou não. Se esse botão de opção estiver selecionado, as tarefas não serão executadas de forma interativa. Para fazer com que a tarefa seja executada de forma interativa, selecione o botão de opção Executar somente quando o usuário estiver conectado.

Quando a opção Executar estando o usuário conectado ou não estiver selecionada, pode ser necessário que você forneça as credenciais da conta para salvar a tarefa, independentemente de ter marcado a caixa de seleçãoNão armazenar a senha ou não. Se a conta não estiver conectada quando a tarefa específica for disparada, o serviço usará as credenciais salvas para executar como a conta especificada, e terá uso ilimitado do token resultante.

Ao selecionar a caixa de seleção Não armazenar a senha, o Agendador de Tarefas não armazenará as credenciais fornecidas no computador local, mas as removerá de forma adequada após a autenticação do usuário. Quando tiver que executar a tarefa, o serviço do Agendador de Tarefas usará as extensões “Service-for-User” (S4U) para que o protocolo de autenticação Kerberos recupere o token do usuário.

Ao usar S4U, a capacidade do serviço usar o contexto de segurança da conta é restringido. De modo específico, o serviço só pode usar o contexto de segurança para acessar recursos locais.

Anotações
  • Se a tarefa necessita de acesso aos recursos da rede, você não pode usar S4U. Se usar, a tarefa falhará. A única exceção é o caso no qual a delegação limitada foi estabelecida entre os computadores envolvidos na operação.
  • A funcionalidade do S4U só está disponível em um ambiente onde todos os DC (controladores de domínio) do domínio estejam executando o Windows Server 2003, ou sistemas operacionais mais recentes.
  • Se você estiver usando o recurso do S4U, a tarefa não terá acesso a arquivos criptografados.

Se estiver usando o recurso do S4U, certifique-se de que a diretiva Fazer logon como trabalho em lotes esteja definida para o usuário. Essa diretiva pode ser acessada por meio de Painel de Controle, Ferramentas Administrativas e, em seguida,Diretiva de Segurança Local. Na janela Diretiva de Segurança Local, clique em Diretiva Local, Atribuição de Direitos de Usuário e, em seguida em Fazer logon como trabalho em lotes.

Para obter mais informações sobre as extensões S4U Kerberos, consulte RFC 1510.

Se você marcar a caixa de seleção Executar com privilégios mais altos, o Agendador de Tarefas executará a tarefa usando um token com privilégios elevados em vez de um token com privilégios baixos (UAC). Somente as tarefas que exigem privilégios elevados para realizar suas ações devem ser executadas com privilégios elevados. Para obter mais informações, consulte Controle de Conta de Usuário.

Sumário