Droits minimaux requis pour exécuter un service windows comme un compte de domaine

Personne ne sait ce qui serait le minimum de droits j'aurais besoin de l'accorder à un compte d'utilisateur de domaine dans l'ordre d'exécuter un service windows en tant qu'utilisateur?

Pour des raisons de simplicité, supposons que le service ne fait rien de plus et au-dessus de démarrage, l'arrêt et l'écriture de la "Demande" journal des événements - c'est à dire pas d'accès au réseau, pas de journaux des événements personnalisés, etc.

Je sais que je pourrais utiliser le construit en Service et NetworkService comptes, mais il est possible que je ne sois pas en mesure de les utiliser en raison de stratégies de réseau en place.

InformationsquelleAutor Paul Nearney | 2008-10-07
  1. 74

    Deux façons:

    1. Modifier les propriétés du service et de définir le Journal de l'utilisateur. Le droit applicable sera automatiquement attribué.

    2. De le configurer manuellement: Accédez aux Outils d'Administration -> Stratégie de Sécurité Locale -> Politiques Locales -> Attribution des Droits Utilisateur. Modifier l'élément "ouvrir une session en tant que service" et d'ajouter votre domaine utilisateur.

    • Fantastique - donc "ouvrir une session en tant que service" est tout ce qui est nécessaire pour un service de base (ainsi que tous les droits propres à la logique du service, par exemple pour accéder à des ressources réseau). Pour une raison que je l'avais imaginé un immense enchevêtrement de droits de serait nécessaire. Merci
    • Parfois, cela ne semble pas être suffisant. J'ai fait les deux de ces choses et de commencer le service a échoué avec l'erreur "<Windows service de nom d'affichage> service sur l'Ordinateur Local a démarré puis s'est arrêté. Certains services s'arrêtent automatiquement si elles ne sont pas en cours d'utilisation par d'autres services ou programmes.". J'ai dû faire le compte d'utilisateur d'un administrateur pour qu'il fonctionne.
    • Comment faire pour vraiment faire le n ° 1?
    • Juste à faire ces deux étapes ne résolvent pas mon problème. J'ai regardé les Journaux des Événements pour voir ce que je pouvais trouver et a remarqué le compte de domaine, j'ai eu la conduite du service n'a pas les autorisations pour écrire au service du fichier journal. J'ai fait le domaine compte administrateur local et il m'en haut et en cours d'exécution!
    InformationsquelleAutor spoulson
  2. 3

    Je sais que le compte doit avoir "ouvrir une session en tant que Service" privilèges. Autre que cela, je ne suis pas sûr. Un guide de référence rapide pour ouvrir une session en tant que Service peut être trouvé ici, et il y a beaucoup d'informations de privilèges spécifiques ici.

    InformationsquelleAutor Chris Marasti-Georg
  3. 2

    "BypassTraverseChecking" signifie que vous pouvez directement accéder à tout niveau profond sous-répertoire, même si vous n'avez pas tous l'intermédiaire des privilèges d'accès à des répertoires entre les deux, c'est à dire tous les répertoires ci-dessus vers la racine .

    InformationsquelleAutor ths
  4. 1

    Merci pour les liens, Chris. J'ai souvent posé des questions sur les effets spécifiques des privilèges tels que "BypassTraverseChecking", mais jamais pris la peine de les regarder.

    J'ai été intéressant d'avoir des problèmes pour obtenir un service à exécuter et découvert qu'il n'ai pas accès aux fichiers après l'installation initiale avait été faite par l'administrateur. Je pensais qu'il avait besoin de quelque chose en plus de l'ouverture de session en tant Que Service jusqu'à ce que j'ai trouvé le fichier en question.

    1. Désactivé le partage de fichiers simple.
    2. Fait temporairement mon compte de service d'un administrateur.
    3. Utilisé le compte de service pour prendre possession des fichiers.
    4. Supprimer compte de service du groupe administrateurs.
    5. Redémarrage.

    Cours de Prendre Possession, il est nécessaire de désactiver l'héritage des autorisations du parent répertoires et appliquer des autorisations de manière récursive en bas de l'arbre.

    N'était pas en mesure de trouver un "donner propriété" option pour éviter de faire le service du compte administrateur temporairement, si.

    De toute façon, je pensais que je serais ce post au cas où quelqu'un d'autre, c'était la même route, j'ai été à la recherche pour la politique de sécurité quand il était vraiment juste le système de fichiers des droits de l'.

    • BTW, il n'a pas besoin de posséder les fichiers, il ne devrait avoir besoin de lire et d'exécuter des autorisations pour les fichiers.
    • Les fichiers en question comprennent les données d'exécution ainsi que l'accumulation d'électricité statique fichiers. Les fichiers statiques peuvent être en lecture/écriture, mais les fichiers d'exécution doivent être mis à jour, de nouveaux fichiers et répertoires créés, les fichiers supprimés, etc. Il est possible de trouver un répertoire exactement ce qu'il faut, mais ça pourrait changer à travers une sortie ou même un fix pack et être devliishly difficile à diagnostiquer. Donc, il est exact que les moins complète de la propriété est nécessaire, mais à partir d'un état de fonctionnement point de vue, je voudrais encore vous recommandons de prendre la propriété.
    • C'est assez ancienne, mais dans le cas où quelqu'un vient à travers elle, vous devriez généralement d'accorder le "Modifier" à droite de cette instance. Pour résumer les autorisations d'une manière simple: * Dossier: Permet la lecture et l'écriture de fichiers et sous-dossiers; permet la suppression du dossier * les Fichiers: Permet la lecture et l'écriture du fichier qui permet la suppression du fichier "Propriété" n'est pas réellement confère aucun accès au dossier en tant que tel, juste à la capacité de définir des autorisations (contrôle total inclut les droits). Les administrateurs doivent avoir le plein contrôle, au lieu de cela, dans le cas où le compte de service se détraque.
    InformationsquelleAutor T.Rob