将Windows服务作为域帐户运行所需的最低权限

有谁知道什么是我将需要授予域用户帐户,以作为该用户运行Windows服务的最低权限?

为了简单起见,假定服务在开始,停止和写入“应用程序”事件日志之前不做任何事情 – 即没有networking访问,没有定制事件日志等。

我知道我可以使用内置的Service和NetworkService帐户,但由于networking策略的原因,我可能无法使用这些帐户。

两种方式:

  1. 编辑服务的属性并设置login用户。 适当的权利将被自动分配。

  2. 手动设置:进入pipe理工具 – >本地安全策略 – >本地策略 – >用户权限分配。 编辑项目“作为服务login”,并在那里添加你的域用户。

我知道该帐户需要具有“以服务login”权限。 除此之外,我不确定。 可以在这里find“作为服务login”的快速参考, 这里有许多特定权限的信息。

“BypassTraverseChecking”意味着你可以直接访问任何深层次的子目录,即使你没有所有中间目录的访问权限,也就是它上面的所有目录到根目录。

感谢您的链接,克里斯。 我经常想知道像“BypassTraverseChecking”这样的特权的具体效果,但从来没有打扰过查看它们。

我有一个有趣的问题让一个服务运行,并发现在pipe理员完成初始安装后,它无法访问它的文件。 我想除了login为服务之外,还需要一些东西,直到find文件问题。

1)禁用简单的文件共享。 2)暂时让我的服务帐户成为pipe理员。 3)使用服务帐户来获取文件的所有权。 4)从pipe理员组中删除服务帐户。 5)重新启动。

在获取所有权期间,必须禁用父目录的权限inheritance,并recursion地向树中应用权限。

但是,无法find“ 授予所有权”选项,以避免暂时将服务帐户设置为pipe理员。

无论如何,以为我会张贴这个案件,以防其他人在同一条道路上寻找安全策略问题时,它实际上只是文件系统的权利。