Кто-нибудь знает, какие минимальные права мне нужно предоставить учетной записи пользователя домена, чтобы запустить службу Windows в качестве этого пользователя?
Для простоты предположим, что служба ничего не делает, кроме запуска, остановки и записи в журнал событий "Приложение" - т.е. нет доступа к сети, нет настраиваемых журналов событий и т.д.
Я знаю, что могу использовать встроенные учетные записи Service и NetworkService, но возможно, что я не смогу их использовать из-за сетевых политик.
Два способа:
Отредактируйте свойства сервиса и настройте пользователя входа в систему. Соответствующее право будет автоматически назначено.
Установите его вручную: откройте "Администрирование" → "Локальная политика безопасности" → "Локальные политики" → "Назначение прав пользователя". Отредактируйте элемент "Зарегистрируйтесь как услуга" и добавьте там своего пользователя домена.
Я знаю, что для учетной записи должны быть привилегии "Вход в систему". Кроме этого, я не уверен. Краткая ссылка на "Вход в качестве службы" можно найти здесь, и есть много информации о конкретных привилегиях здесь.
"BypassTraverseChecking" означает, что вы можете напрямую обращаться к любому поддиректорию глубокого уровня, даже если у вас нет всех привилегий промежуточного доступа к каталогам между ними, т.е. все каталоги над ним к корневому уровню.
Спасибо за ссылки, Крис. Я часто задавался вопросом о конкретных эффектах привилегий, таких как "BypassTraverseChecking", но никогда не потрудился их искать.
У меня возникли интересные проблемы с запуском службы и выяснилось, что у нее нет доступа к ее файлам после того, как администратор выполнил первоначальную установку. Я думал, что ему нужно что-то в дополнение к Logon As A Service, пока я не обнаружу проблему с файлом.
1) Отключение простого совместного использования файлов. 2) Временно сделало мою учетную запись службы администратором. 3) Использовал учетную запись службы, чтобы получить доступ к файлам. 4) Удалите учетную запись службы из группы администраторов. 5) Перезагрузитесь.
Во время Take Ownership необходимо было отключить наследование разрешений из родительских каталогов и рекурсивно применить разрешения к дереву.
Не удалось найти параметр " дать", чтобы не допустить, чтобы учетная запись службы была администратором временно.
В любом случае, подумал, что я опубликую это на случай, если кто-то еще пойдет по той же дороге, на которую я искал проблемы с политикой безопасности, когда это было действительно просто прав файловой системы.