有人知道我需要授予域用户帐户的最低权限才能以该用户身份运行Windows服务吗?
为简单起见,假设该服务除了启动、停止和写入“应用程序”事件日志外没有其他操作——即没有网络访问,也没有自定义事件日志等。
我知道我可以使用内置的Service和NetworkService帐户,但由于可能存在网络策略限制,因此我可能无法使用这些帐户。
有人知道我需要授予域用户帐户的最低权限才能以该用户身份运行Windows服务吗?
为简单起见,假设该服务除了启动、停止和写入“应用程序”事件日志外没有其他操作——即没有网络访问,也没有自定义事件日志等。
我知道我可以使用内置的Service和NetworkService帐户,但由于可能存在网络策略限制,因此我可能无法使用这些帐户。
有两种方法:
编辑服务的属性并设置“登录用户”。适当的权限将自动分配。
手动设置: 转到“管理工具”->“本地安全策略”->“本地策略”->“用户权限分配”。编辑“作为服务登录”的项目,并在其中添加您的域用户。
感谢提供这些链接,Chris。我经常想知道像“BypassTraverseChecking”这样的权限具体有什么影响,但从未费心去查找。
我遇到了一个有趣的问题,即在管理员完成初始安装后,发现服务无法访问其文件。我一直认为需要除“作为服务登录”之外的其他内容,直到我发现了文件问题。
在获取所有权期间,需要禁用从父目录继承权限并递归地应用权限。
不过,我没有找到“授予所有权”的选项,以避免临时使服务帐户成为管理员。
无论如何,我想发布这篇文章,以防其他人在寻找安全策略问题时走上我曾走过的相同道路,而实际上只是文件系统权限问题。