Droits minimaux requis pour exécuter un service windows comme un compte de domaine
Personne ne sait ce qui serait le minimum de droits j'aurais besoin de l'accorder à un compte d'utilisateur de domaine dans l'ordre d'exécuter un service windows en tant qu'utilisateur?
Pour des raisons de simplicité, supposons que le service ne fait rien de plus et au-dessus de démarrage, l'arrêt et l'écriture de la "Demande" journal des événements - c'est à dire pas d'accès au réseau, pas de journaux des événements personnalisés, etc.
Je sais que je pourrais utiliser le construit en Service et NetworkService comptes, mais il est possible que je ne sois pas en mesure de les utiliser en raison de stratégies de réseau en place.
InformationsquelleAutor Paul Nearney | 2008-10-07
Vous devez vous connecter pour publier un commentaire.
Deux façons:
Modifier les propriétés du service et de définir le Journal de l'utilisateur. Le droit applicable sera automatiquement attribué.
De le configurer manuellement: Accédez aux Outils d'Administration -> Stratégie de Sécurité Locale -> Politiques Locales -> Attribution des Droits Utilisateur. Modifier l'élément "ouvrir une session en tant que service" et d'ajouter votre domaine utilisateur.
Je sais que le compte doit avoir "ouvrir une session en tant que Service" privilèges. Autre que cela, je ne suis pas sûr. Un guide de référence rapide pour ouvrir une session en tant que Service peut être trouvé ici, et il y a beaucoup d'informations de privilèges spécifiques ici.
"BypassTraverseChecking" signifie que vous pouvez directement accéder à tout niveau profond sous-répertoire, même si vous n'avez pas tous l'intermédiaire des privilèges d'accès à des répertoires entre les deux, c'est à dire tous les répertoires ci-dessus vers la racine .
Merci pour les liens, Chris. J'ai souvent posé des questions sur les effets spécifiques des privilèges tels que "BypassTraverseChecking", mais jamais pris la peine de les regarder.
J'ai été intéressant d'avoir des problèmes pour obtenir un service à exécuter et découvert qu'il n'ai pas accès aux fichiers après l'installation initiale avait été faite par l'administrateur. Je pensais qu'il avait besoin de quelque chose en plus de l'ouverture de session en tant Que Service jusqu'à ce que j'ai trouvé le fichier en question.
Cours de Prendre Possession, il est nécessaire de désactiver l'héritage des autorisations du parent répertoires et appliquer des autorisations de manière récursive en bas de l'arbre.
N'était pas en mesure de trouver un "donner propriété" option pour éviter de faire le service du compte administrateur temporairement, si.
De toute façon, je pensais que je serais ce post au cas où quelqu'un d'autre, c'était la même route, j'ai été à la recherche pour la politique de sécurité quand il était vraiment juste le système de fichiers des droits de l'.