Droits minimum requis pour exécuter un service Windows en tant que compte de domaine

Question

Personne ne sait ce qui serait le minimum de droits j'aurais besoin de l'accorder à un compte d'utilisateur de domaine dans l'ordre d'exécuter un service windows en tant qu'utilisateur?

Pour des raisons de simplicité, supposons que le service ne fait rien de plus et au-dessus de démarrage, l'arrêt et l'écriture de la "Demande" journal des événements - c'est à dire pas d'accès au réseau, pas de journaux des événements personnalisés, etc.

Je sais que je pourrais utiliser le construit en Service et NetworkService comptes, mais il est possible que je ne sois pas en mesure de les utiliser en raison de stratégies de réseau en place.

Answer 1

Deux façons:

1. Modifiez les propriétés du service et définissez l'utilisateur de connexion. Le droit approprié sera automatiquement attribué.

2. Configurez-le manuellement: Allez dans Outils d'administration -> Stratégie de sécurité locale -> Stratégies locales -> Attribution des droits utilisateur. Modifiez l'élément "Ouvrir une session en tant que service" et ajoutez-y votre utilisateur de domaine.

Answer 2

Je sais que le compte doit disposer des privilèges "Ouvrir une session en tant que service". Sinon, je ne suis pas sûr. Une référence rapide Connectez - vous en tant que service se trouve ici , et il y a beaucoup d'informations des privilèges spécifiques ici .

Answer 3

"BypassTraverseChecking" signifie que vous pouvez accéder directement à n'importe quel sous-répertoire de niveau profond même si vous ne disposez pas de tous les privilèges d'accès intermédiaires aux répertoires, c.-à-d. Tous les répertoires situés au-dessus de celui-ci et situés au niveau racine.

Answer 4

Merci pour les liens, Chris. J'ai souvent posé des questions sur les effets spécifiques des privilèges tels que "BypassTraverseChecking", mais jamais pris la peine de les regarder.

J'ai été intéressant d'avoir des problèmes pour obtenir un service à exécuter et découvert qu'il n'ai pas accès aux fichiers après l'installation initiale avait été faite par l'administrateur. Je pensais qu'il avait besoin de quelque chose en plus de l'ouverture de session en tant Que Service jusqu'à ce que j'ai trouvé le fichier en question.

1) Désactivé le partage de fichiers simple. 2) fait Temporairement mon compte de service d'un administrateur. 3) a Utilisé le compte de service pour prendre possession des fichiers. 4) suppression de compte de service du groupe administrateurs. 5) Redémarrer.

Au cours de Prendre Possession, il est nécessaire de désactiver l'héritage des autorisations du parent répertoires et appliquer des autorisations de manière récursive en bas de l'arbre.

N'était pas en mesure de trouver une "donner à la propriété" option pour éviter de faire le service du compte administrateur temporairement, si.

De toute façon, je pensais que je serais ce post au cas où quelqu'un d'autre, c'était la même route, j'ai été à la recherche pour la politique de sécurité quand il était vraiment juste le système de fichiers des droits de l'.