我们在Windows Server 2019上配置了一个定时任务，用来清理IIS日志文件。为了避免使用高权限的SYSTEM账户，我们创建了一个本地受限权限账户——这个账户仅拥有IIS日志目录的修改权限，然后把任务设置为以该用户身份执行，任务的核心配置如下：

• 无论用户是否登录都运行
• 不存储密码。任务仅能访问本地计算机资源。

目前任务看起来运行正常，但我们有几个不太清楚的点：

1. 当这个本地用户的密码过期后，任务会停止执行吗？还是S4U（服务用户替代）机制仍然能正常工作？
2. （注：原问题此处内容不完整，若补充完整可进一步提供解答）

针对第一个问题，我来给你详细说明：
当你勾选了「不存储密码」选项时，Windows任务计划程序确实会借助S4U协议来获取访问本地资源的令牌，不需要存储用户的密码哈希。但这里有个核心限制：如果本地用户的密码过期，任务会停止执行，S4U无法绕过这个限制。

原因很简单：密码过期后，该用户账户会进入「必须更改密码」的状态，Windows系统会认为这个账户的身份验证有效性已经失效，即使是S4U也无法为处于这种状态的账户生成有效的访问令牌。系统会拒绝任务的身份验证请求，导致任务无法启动或中途失败。

给你两个实用的解决思路：

1. 定期更新该本地用户的密码，更新后需要在任务计划程序中重新确认账户状态（即使勾选了不存储密码，也要确保账户没有处于锁定或过期状态）；
2. 改用本地组管理服务账户（gMSA），这类账户的密码由Windows系统自动维护，不会过期，而且可以配置最小化权限，非常适合这类长期运行的自动化任务场景，能彻底省去密码维护的麻烦。

备注：内容来源于stack exchange，提问作者Kimmel