Diritti minimi richiesti per eseguire un servizio Windows come account di dominio [chiuso]
-
05-07-2019 - |
Domanda
Qualcuno sa quali sarebbero i diritti minimi che dovrei concedere a un account utente di dominio per eseguire un servizio Windows come tale utente?
Per semplicità, supponi che il servizio non faccia nulla al di là dell'avvio, dell'arresto e della scrittura nell'applicazione " " registro eventi - ovvero nessun accesso alla rete, nessun registro eventi personalizzato ecc.
So di poter utilizzare gli account Service e NetworkService integrati, ma è possibile che non sia possibile utilizzarli a causa delle politiche di rete in atto.
Soluzione
Due modi:
-
Modifica le proprietà del servizio e imposta l'utente di accesso. Il diritto appropriato verrà assegnato automaticamente.
-
Impostalo manualmente: vai su Strumenti di amministrazione - > Politica di sicurezza locale - > Politiche locali - > Assegnazione dei diritti dell'utente. Modifica l'elemento " Accedi come servizio " e aggiungi lì il tuo utente del dominio.
Altri suggerimenti
" BypassTraverseChecking " significa che puoi accedere direttamente a qualsiasi sottodirectory di livello profondo anche se non disponi di tutti i privilegi di accesso intermedio alle directory intermedie, vale a dire tutte le directory sopra di essa verso il livello radice.
Grazie per i collegamenti, Chris. Mi sono spesso chiesto quali siano gli effetti specifici di privilegi come " BypassTraverseChecking " ma non si è mai preso la briga di cercarli.
Stavo riscontrando problemi interessanti durante l'esecuzione di un servizio e ho scoperto che non aveva accesso ai suoi file dopo che l'installazione iniziale era stata eseguita dall'amministratore. Pensavo che fosse necessario qualcosa in aggiunta a Accesso come servizio fino a quando non ho riscontrato il problema con il file.
- Condivisione file semplice disabilitata.
- Ha temporaneamente reso il mio account di servizio un amministratore.
- Utilizzato l'account del servizio per diventare proprietario dei file.
- Rimuovi l'account del servizio dal gruppo amministratori.
- Reboot.
Durante la proprietà di Take, era necessario disabilitare l'ereditarietà delle autorizzazioni dalle directory principali e applicare le autorizzazioni in modo ricorsivo lungo l'albero.
Impossibile trovare un " dare proprietà " opzione per evitare di rendere temporaneamente l'account del servizio un amministratore.
In ogni caso, ho pensato di pubblicarlo nel caso in cui qualcun altro stesse percorrendo la stessa strada in cui stavo cercando problemi relativi ai criteri di sicurezza quando in realtà erano solo i diritti del filesystem.