Donner le droit Log on as a batch job a un compte sur un AD

Pour qu'un compte puisse s'exécuter via une tâche planifiée, il doit avoir le droit "Log on as a batch job".

Par défaut 3 groupes ont ce droit :
• Administrators
• Backup Operators
• Performance Log Users

Ce droit se donne via gpo. Sur un AD, si vous passez par Gpedit.msc, vous n'aurez pas le droit d'ajouter un membre :

Sur un AD ces 3 membres sont assignés par la gpo nommée
"default domain controllers policy"

La GPO "Default Domain Policy" qui s'applique sur les serveurs membres ne définie rien :

Et pour cause, définir 'Log on as a batch job' par GPO écrase l'existant. Cela ne s'ajoute pas. Or sur différents serveurs il y a des membres en plus.
Exemple sur un serveur Citrix avec un VDA où on trouve CtxAppVCOMAdmin en membre supplémentaire :

Pour un serveur IIS il y aura IIS_IUSRS

Pour éviter les effets de bord, la règle à suivre pour modifier les membres de 'Log on as a batch job' serait donc :
• pour les AD, modifier la gpo "default domain controllers policy"
• Pour les serveurs membres, faire du cas par cas avec la stratégie locale en utilisant gpedit.msc ou plus simplement mettre le compte dans le groupe 'Performance Log Users'