Comment spécifier NetworkService ou LocalService pour un service Windows sur un contrôleur de domaine?
Cette question n'est pas un double de ces questions existantes:
- AUTHORITY\NetworkService n'existe pas (la question concerne Windows Server 2003
- Comment puis-je exécuter un processus comme "NT Authority\NetworkService"? (c'est une question de script)
- https://stackoverflow.com/questions/34966029/adding-permissions-for-nt-authority-networkservice (il s'agit d'ajouter un
NT AUTHORITYprincipal à une ACL, ne sélectionnant pas de principal dans l'interface utilisateur de recherche d'utilisateur)
J'ai un service Windows configuré sur différents ordinateurs:
- Un poste de travail (hors domaine) (exécutant Windows 10)
- Un poste de travail (hors domaine) Windows Server (exécutant Windows Server 2016)
- Un poste de travail de domaine (exécutant Windows 10)
- Un serveur membre de domaine (exécutant Windows Server 2016)
- Un contrôleur de domaine (exécutant Windows Server 2016)
Ordinateurs joints au domaine et serveurs membres:
Sur tous les ordinateurs à l'exception du contrôleur de domaine, le services.msc> Propriétés du service> La fenêtre contextuelle "Sélectionner un utilisateur" de la feuille de propriétés de connexion me permet de sélectionner le NT AUTHORITY principes intégrés NETWORK SERVICE et LOCAL SERVICE (alias NT AUTHORITY\NetworkService et NT AUTHORITY\LocalService).
Si j'ignore la fenêtre Rechercher des utilisateurs et saisis simplement "network service "dans la fenêtre Sélectionner un utilisateur et cliquez sur" Vérifier les noms ", puis il est correctement résolu en NETWORK SERVICE:
Contrôleurs de domaine:
Cependant, sur ce contrôleur de domaine Windows Server 2016, la fenêtre contextuelle Sélectionner un utilisateur ne me permet pas de spécifier un nom d'ordinateur local (ce qui est logique: le système de sécurité de l'ordinateur local devient le système de sécurité du domaine).
... ce qui signifie qu'il n'est pas possible de résoudre, de rechercher ou de sélectionner NETWORK SERVICE ou LOCAL SERVICE:
Lorsque je le tape directement dans l'onglet Connexion, j'obtiens cette erreur:
Le nom de compte n'est pas valide ou n'existe pas, ou le mot de passe n'est pas valide pour le nom de compte spécifié.
Je note que sur un contrôleur de domaine, la fenêtre "Sélectionner un utilisateur ou un compte de service" me permet uniquement de sélectionner "Comptes de service" ou "Utilisateurs" et non "Principes de sécurité intégrés".
Poste de travail joint au domaine ou serveur membre:
Contrôleur de domaine (Windows Server 2012 R2, mais c'est la même chose en 2016):
Je sais que je peux définir le compte d'ouverture de session de service à l'aide de sc config ou en modifiant manuellement le registre (ou en tapant "Local Service" ou "Network Service "dans la zone de texte" Ce compte: ") mais qu'en est-il des autres situations où j'utiliserais la boîte de dialogue" Sélectionner un compte d'utilisateur ou de service "en dehors de Services.msc sur un contrôleur de domaine?
Sur la base de votre capture d'écran finale, vous avez laissé de l'espace dans le nom du compte. Essayez Local Service au lieu.
Si cela ne fonctionne pas, vous pouvez le faire sur la ligne de commande comme indiqué ici , j'écrirais ceci comme:
sc config ServiceName obj= "NT AUTHORITY\Local Service" password= ""
Notez que dans la version en ligne de commande, LocalService ou Local Service est acceptable, mais dans l'interface graphique, seule cette dernière fonctionne. Je ne sais pas pourquoi, mais c'est comme ça.
Vous devez ajouter un "principal de sécurité intégré" à vos types d'objets lorsque vous effectuez cette opération sur le contrôleur de domaine. En l'état, vous recherchez uniquement les types d'objets de compte d'utilisateur et de service.
Vous pouvez également accéder à l'onglet Connexion en tant que et spécifier NT AUTHORITY\LocalService dans la zone de saisie de texte comme nom d'utilisateur et effacer les deux champs de mot de passe, puis cliquez sur OK.