1. Inicio
  2. Pregunta y respuesta
  3. Derechos mínimos necesarios para ejecutar un servicio de Windows como cuenta de dominio

Derechos mínimos necesarios para ejecutar un servicio de Windows como cuenta de dominio

2008-10-07 20 views
34

¿Alguien sabe cuáles serían los derechos mínimos que tendría que otorgar a una cuenta de usuario de dominio para ejecutar un servicio de Windows como ese usuario?Derechos mínimos necesarios para ejecutar un servicio de Windows como cuenta de dominio

Por simplicidad, se supone que el servicio no hace nada por encima de iniciar, detener, y escribir en el registro de eventos "Aplicación" - es decir, sin acceso a la red, no hay registros de eventos personalizados, etc.

Sé que podría utilizar las cuentas integradas de Servicios y Servicios de red, pero es posible que no pueda utilizarlas debido a las políticas de red vigentes.

Fuente

2008-10-07 Paul Nearney

Respuesta

65

dos maneras:

  1. Editar las propiedades del servicio y establecer el registro de usuario. El derecho apropiado se asignará automáticamente.

  2. Configúrelo manualmente: vaya a Herramientas administrativas -> Política de seguridad local -> Políticas locales -> Asignación de derechos de usuario. Edite el elemento "Iniciar sesión como servicio" y agregue su usuario de dominio allí.

Fuente

2008-10-07 14:16:24 spoulson

+0

Fantástico, por lo que "Iniciar sesión como servicio" es todo lo que se necesita para un servicio básico (más cualquier derecho específico de la lógica en el servicio, por ejemplo, para acceder a recursos de red). Por alguna razón, imaginé que sería necesario un gran enredo de derechos. Gracias –

+1

A veces, esto no parece ser suficiente.Hice ambas cosas y al iniciar el servicio se produjo un error con el servicio " en el equipo local iniciado y luego detenido. Algunos servicios se detienen automáticamente si otros servicios o programas no los utilizan". Tuve que hacer que la cuenta de usuario fuera un administrador para que funcione. – mythofechelon

3

Sé que la cuenta debe tener privilegios de "Iniciar sesión como servicio". Aparte de eso, no estoy seguro. Se puede encontrar una referencia rápida a Iniciar sesión como servicio here, y hay mucha información de privilegios específicos here.

Fuente

2008-10-07 14:14:43

1

Gracias por los enlaces, Chris. A menudo me he preguntado sobre los efectos específicos de privilegios como "BypassTraverseChecking", pero nunca me molesté en buscarlos.

Estaba teniendo problemas interesantes para ejecutar un servicio y descubrí que no tenía acceso a sus archivos después de que el administrador había realizado la instalación inicial. Estaba pensando que necesitaba algo además de Iniciar sesión como servicio hasta que encontré el problema del archivo.

1) Habilitado el intercambio de archivos simple. 2) Temporalmente hice de mi cuenta de servicio un administrador. 3) Usé la cuenta de servicio para tomar posesión de los archivos. 4) Eliminar cuenta de servicio del grupo de administradores. 5) Reiniciar.

Durante Take Ownership, era necesario deshabilitar la herencia de permisos de los directorios principales y aplicar permisos recursivamente en el árbol.

No se pudo encontrar la opción "give ownership" para evitar que la cuenta de servicio fuera un administrador temporalmente.

De todos modos, pensé en publicar esto en caso de que alguien más estuviera yendo por el mismo camino que estaba buscando problemas de política de seguridad cuando en realidad era solo un sistema de archivos.

Fuente

2010-01-05 02:28:15

+0

Por cierto, no debería necesitar poseer los archivos, solo debería necesitar permisos de lectura y ejecución para los archivos. –

+0

Los archivos en cuestión incluyen los datos de tiempo de ejecución así como los archivos estáticos de tiempo de compilación. Los archivos estáticos pueden leerse/ejecutarse, pero los archivos en tiempo de ejecución deben actualizarse, crearse nuevos archivos y directorios, eliminarse archivos, etc. Es posible determinar por directorio exactamente qué se necesita, pero podría cambiar a lo largo de un archivo. liberar o incluso un fixpack y ser muy difícil de diagnosticar. Por lo tanto, tiene razón en que se requiere menos propiedad total, pero desde el punto de vista de la capacidad de servicio, aún recomendaría tomar posesión. –

+0

Esto es bastante antiguo, pero en caso de que alguien se lo encuentre, generalmente querrá otorgar el derecho "Modificar" en esta instancia. Para resumir los permisos de una manera simple: * Carpeta: permite leer y escribir archivos y subcarpetas; permite la eliminación de la carpeta * Archivos: permite leer y escribir el archivo; permite la eliminación del archivo "Propiedad" en realidad no confiere ningún acceso al archivo como tal, solo para la capacidad de establecer permisos (El control total incluye estos derechos). Los administradores deberían tener control total, en cambio, en caso de que la cuenta de servicio se vuelva loca. – Trix

2

"BypassTraverseChecking" significa que puede acceder directamente a cualquier subdirectorio de nivel profundo, incluso si no tiene todos los privilegios de acceso intermediario a los directorios intermedios, es decir, todos los directorios superiores al nivel de raíz.

Fuente

2011-02-24 10:13:12 ths

Cuestiones relacionadas

 Cuestiones relacionadas