Windows Server 2008 R2 では、スケジュールされたタスクごとに実行するユーザーを指定する必要があります。
当社では、各ドメイン ユーザーが 30 日ごとにパスワードを変更する必要があるというポリシーを採用しています。
多数のサーバーで実行する必要があるスケジュールされたタスクが多数あるため、問題が発生します。特定のスケジュールされたタスクに関連付けられたユーザーがパスワードを変更すると (30 日ごとに必要)、タスクはすべて動作を停止します (ログインしてタスクのパスワードを変更するまで)。
スケジュールされたタスクを SYSTEM アカウントで実行しようとしましたが、機能しませんでした。
対話形式でログインできず、管理者であり、パスワード変更要件が免除される新しいアカウント (SCHED_TASK) を作成することを考えました。
これは私にとってはまさに「ハック」のように思えます。もっと良い方法や、使用すべき何らかの組み込みアカウントはありますか?
この場合のベストプラクティスは何でしょうか?
答え1
AD では、サービス アカウントに「パスワードを無期限にする」(アカウント タブ) を設定できます。
答え2
SYSTEM として実行できるはずです。スケジュールされた再起動などのためのバッチ スクリプトに、いくつかの AT コマンドがあります。必ず「管理者として実行」してください。そうしないと、実行されません。
答え3
結局、SYSTEM アカウントが最適な方法であることがわかりました。別の管理者が、プロセスの実行を妨げていた SYSTEM アカウントに制限を設定していました。これらの追加の (デフォルトでは存在しない) セキュリティ設定を削除することで、すべてが正常に動作するようになりました。
また、SYSTEM アカウントにはパスワードもないため、有効期限切れなどが発生することはありません。