Минимальные права, необходимые для запуска службы Windows в качестве учетной записи домена
Кто-нибудь знает, какие минимальные права мне нужно было бы предоставить учетной записи пользователя домена для запуска службы Windows в качестве этого пользователя?
Для простоты предположим, что служба не делает ничего, кроме запуска, остановки и записи в журнал событий "Приложения" - т.е. нет доступа к сети, нет пользовательских журналов событий и т. Д.
Я знаю, что могу использовать встроенные учетные записи Service и NetworkService, но возможно, что я не смогу использовать их из-за действующих сетевых политик.
4 ответа
Два пути:
Отредактируйте свойства сервиса и установите пользователя для входа в систему. Соответствующее право будет назначено автоматически.
Установите его вручную: Перейдите в Администрирование -> Локальная политика безопасности -> Локальные политики -> Назначение прав пользователя. Отредактируйте пункт "Вход в систему как сервис" и добавьте туда пользователя вашего домена.
Я знаю, что учетная запись должна иметь привилегии "Вход в систему как служба". Кроме этого, я не уверен. Здесь можно найти краткую ссылку на Вход в систему как сервис, и здесь есть много информации о конкретных привилегиях.
"BypassTraverseChecking" означает, что вы можете получить прямой доступ к любому подкаталогу глубокого уровня, даже если у вас нет всех привилегий промежуточного доступа к промежуточным каталогам, т. Е. Ко всем каталогам выше него до корневого уровня.
Спасибо за ссылки, Крис. Я часто задавался вопросом о конкретных эффектах привилегий, таких как "BypassTraverseChecking", но никогда не удосужился их найти.
У меня были интересные проблемы с запуском службы, и я обнаружил, что у нее нет доступа к ее файлам после первоначальной установки администратором. Я думал, что нужно что-то в дополнение к Logon As A Service, пока не обнаружил проблему с файлом.
- Отключен простой обмен файлами.
- Временно сделал мою учетную запись администратора.
- Использовал учетную запись службы, чтобы стать владельцем файлов.
- Удалить учетную запись службы из группы администраторов.
- Перезагружать.
Во время Take Ownership необходимо было отключить наследование разрешений из родительских каталогов и рекурсивно применить разрешения вниз по дереву.
Не удалось найти параметр "передать право собственности", чтобы избежать временного назначения учетной записи администратора.
Во всяком случае, я подумал, что я опубликую это на тот случай, если кто-то пойдет по тому же пути, что и я, и искал проблемы с политикой безопасности, когда это были просто права на файловую систему.