服务结构要求RunAs为域用户

时间:2017-06-06 12:10:04

标签: azure azure-service-fabric

我们是Service Fabric的新手,看起来非常有前途但是我们在尝试作为域用户运行简单的无状态服务时遇到了惊人的麻烦。我们使用我们的本地域在本地运行独立的Windows群集。

我们已按照此处的文档:https://docs.microsoft.com/en-us/azure/service-fabric/service-fabric-application-runas-security

按照这些说明,我最终得到了一个如下所示的应用程序清单:

<ServiceManifestImport>
    <ServiceManifestRef ServiceManifestName="Stateless1Pkg" ServiceManifestVersion="1.0.0" />
    <ConfigOverrides />
    <Policies>
      <RunAsPolicy CodePackageRef="Code" UserRef="Cgud" />
    </Policies>
</ServiceManifestImport>

<Principals>
    <Users>
      <User Name="Cgud" AccountType="DomainUser" AccountName="Domain\UserName" Password="12345" />
    </Users>
</Principals>

我目前正在发送密码,只是为了尝试让它在开发环境中运行,但在转移到生产环境时会对其进行加密。

我们已尝试将Service Fabric Host Service作为默认本地系统用户和一个裸骨域用户运行,在这两种情况下,我们都会收到错误。

Error getting user account information for Doamin\userName: status=5, error=E_ACCESSDENIED

如果我将主机服务作为域管理员帐户运行,则此错误消失,我们收到有关缺少域管理员帐户的本地安全权限的新错误。我已经解决了本地安全策略问题,但我们没有机会在生产中将主机服务作为域管理员运行。

该示例看起来非常简单,但我们尚未使用该简单示例运行它。我们一直在遇到看起来像域权限问题和本地安全策略问题,但这些问题似乎都没有记录。

最后我的问题。

  1. 有没有人有类似的设置并运行RunAs作为doamin用户的服务的应用程序?如果是,那么运行您的主机服务的用户以及您为该用户分配了哪些域权限和安全权限?
  2. 是否有任何文档说明运行主机服务的用户实际需要哪些权利和特权才能将应用程序服务转让给RunAs域用户?
  3. 非常感谢任何帮助或建议!

0 个答案:

没有答案