默认情况下,计划的任务在已计划任务的用户的安全上下文中运行,而且只有在该用户登录(触发任务时)时才运行。若要修改此任务,请在显示任务的属性时,在“常规”选项卡的“安全选项”部分中更改设置。

通过单击“更改用户或组”按钮,可以为要在其下运行的任务选择不同的用户帐户或组帐户。如果用户帐户不是管理员组的成员,则该按钮的标题为“更改用户”。不在管理员组中的用户帐户只能为要在其下运行的任务指定用户帐户。

注意

如果使用任务安全上下文的管理员组注册任务,如果要运行该任务,还必须确保选中了“使用最高权限运行”复选框。

可以指定即使在触发任务时计划在其下运行任务的帐户未登录,该任务也应该运行。若要执行此操作,请选择标记为“不管用户是否登录都要运行”的单选按钮。如果选择了此单选按钮,则任务不会交互运行。若要使任务交互运行,请选择“只在用户登录时运行”单选按钮。

如果选择了“不管用户是否登录都要运行”选项,则在保存任务时,系统可能会提示您提供帐户凭据,无论是否选中标记为“不存储密码”的复选框。如果在触发对应任务时该帐户未登录,则服务将使用已保存的凭据以指定帐户运行,并且在使用生成的令牌时将不受约束。

如果选中了标记为“不存储密码”的复选框,则任务计划程序不会存储在本地计算机上提供的凭据,但会在正确验证用户身份后放弃这些凭据。需要运行任务时,任务计划程序服务将使用 Kerberos 身份验证协议的“用户服务”(S4U) 扩展来检索用户的令牌。

使用 S4U 时,该服务使用帐户安全上下文的能力将受到限制。尤其是该服务只能使用安全上下文来访问本地资源。

注意
  • 如果任务需要访问网络资源,则不能使用 S4U;否则将导致任务失败。唯一的例外情况是在操作中涉及到的计算机之间建立了受限制的委派。
  • 只有在域中的所有域控制器 (DC) 都在运行 Windows Server 2003 或更高版本操作系统的环境中,S4U 功能才可用。
  • 如果正在使用 S4U 功能,则任务将无权访问加密文件。

如果正在使用 S4U 功能,请确保为用户设置“作为批处理作业登录”策略。通过依次打开“控制面板”“管理工具”,然后打开“本地安全策略”,可以访问此策略。在“本地安全策略”窗口中,依次单击“本地策略”“用户权限分配”,然后单击“作为批处理作业登录”

有关 S4U Kerberos 扩展的详细信息,请参阅 RFC 1510

如果选中标记为“使用最高权限运行”的复选框,则任务计划程序将使用提升权限令牌而不是最小权限 (UAC) 令牌运行任务。只有需要提升权限来完成其操作的任务才应使用提升权限运行。有关详细信息,请参阅用户帐户控制