是否有人知道为了以该用户身份运行Windows服务而需要授予域用户帐户的最低权限是什么?
为简单起见,假设该服务在启动,停止和写入“应用程序”事件日志之外不做任何操作 - 即没有网络访问,没有自定义事件日志等。
我知道我可以使用内置的Service和NetworkService帐户,但由于网络策略的原因,我可能无法使用这些帐户。
答案 0 :(得分:73)
两种方式:
编辑服务的属性并设置“登录”用户。将自动分配适当的权利。
手动设置:转到管理工具 - >本地安全政策 - >本地政策 - >用户权利分配。编辑项目“作为服务登录”并在那里添加您的域用户。
答案 1 :(得分:3)
答案 2 :(得分:2)
“BypassTraverseChecking”意味着您可以直接访问任何深层子目录,即使您没有对它们之间的目录的所有中间访问权限,即它上面的所有目录都朝向根级别。
答案 3 :(得分:1)
感谢您的链接,克里斯。我经常想知道像“BypassTraverseChecking”这样的特权的具体影响,但从来没有费心去查找它们。
我在运行服务时遇到了一些有趣的问题,并发现在管理员完成初始安装后,它无法访问它的文件。在我发现文件问题之前,我认为除了Logon As A Service之外还需要一些东西。
在Take Ownership中,必须禁用父目录的权限继承,并以递归方式在树中应用权限。
无法找到“给予所有权”选项,以避免暂时使服务帐户成为管理员。
无论如何,以为我会发布这个以防万一其他人在同一条路上走,我正在寻找安全政策问题,当它真的只是文件系统权利。