Pokud použijeme doporučení uvedená ve Windows Server 2008 Security Guide, dostaneme se do podobné situace, popsané v tomto příspěvku. Při vytváření plánované úlohy ve Windows 2008 nebo Windows Vista můžeme narazit na problém při zadávání hesla k účtu, který má být použitý v okamžiku spuštění úlohy, v případě, že požadujeme spouštění úlohy i v situaci, kdy není uživatel přihlášen. To je časté pro plánované úlohy na serveru.

image

Error: Task Scheduler: An error has occurred for task (taskname). Error message: The following error has reported: 2147943712

Řešení je v nastavení jedné položky v Registry:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Value Name: disabledomaincreds
Value Type: REG_DWORD
Values: 0 (allow domain credentials to be stored)

image Nebo prostřednictvím Group Policy:

image

Windows Settings --> Security Settings --> Local Policies --> Security Options -->

Network access: Do not allow storage of credentials or .NET Passports for network authentication

Přístup k síti: Neumožnit ukládání hesel a pověření pro ověření v síti – Toto nastavení zabezpečení určuje, zda Správce pověření ukládá hesla a pověření pro pozdější použití, když jsou ověřena v doméně. Pokud toto nastavení povolíte, Správce pověření nebude ukládat hesla ani pověření v počítači. Pokud toto nastavení zakážete Správce pověření bude ukládat hesla a pověření v počítači pro pozdější použití při ověření v doméně. Poznámka: Změny v konfiguraci tohoto nastavení zabezpečení se projeví až po restartování Windows.

Výchozí nastavení: Zakázáno nevyvolá výše uvedený problém. Windows Server 2008 Security Guide doporučuje zakázat ukládání hesel (to znamená změnit výchozí nastavení na Enabled / Povoleno) – což je v rozporu s požadavkem na vytvoření plánované úlohy s uloženým heslem v definici.

Nastavení má vliv i na další akce – například automatická instalace agentů MOM 2005 na serveru Windows 2008 se neprovede, viz (http://support.microsoft.com/default.aspx/kb/912998/en-us)