Используя групповую политику, я создал задачу Windows, которую любой пользователь может запускать вручную, но которая выполняется под конкретным пользователем домена (например, DOMAIN \ task_user), которому были назначены очень ограниченные права доступа. Эта политика / задача отлично работала на ПК с Windows 7; однако он, похоже, не работает с ПК с Windows 10 (если я попытаюсь запустить задачу даже в качестве администратора, я вижу ошибку отказа в доступе).
Я думаю, что причина этого в том, что Windows 10, похоже, не разрешает задачи Windows, созданные с помощью политики домена, которые выполняются под пользователем домена, в котором сохранен пароль. Например, в планировщике задач, если я экспортирую проблемную задачу, созданную на локальном ПК с групповой политикой, а затем импортирую ее как новую задачу (это включает в себя повторный ввод пароля для DOMAIN \ task_user вручную) и запускаю ее вручную, она работает просто хорошо.
В качестве решения этой проблемы я вижу, что некоторые люди предлагают вместо этого запускать задачу от имени пользователя SYSTEM. Причина в том, что нет необходимости сохранять пароль для пользователя SYSTEM на уровне групповой политики, поэтому задача Windows должна работать нормально. Однако это кажется плохой идеей с точки зрения безопасности, поскольку пользователь SYSTEM имеет права доступа, сопоставимые с правами локального администратора.
Итак, мой вопрос: как я могу обойти проблему сохранения пароля в групповой политике и создать задачу, которую может запустить любой, но которая выполняется с очень ограниченными разрешениями?