web-dev-qa-db-fra.com

Droits minimum requis pour exécuter un service Windows en tant que compte de domaine

Quelqu'un sait-il quels seraient les droits minimaux que j'aurais besoin d'accorder à un compte d'utilisateur de domaine afin d'exécuter un service Windows en tant que cet utilisateur?

Pour simplifier, supposez que le service ne fait rien de plus que de démarrer, d'arrêter et d'écrire dans le journal des événements "Application" - c'est-à-dire pas d'accès au réseau, pas de journaux d'événements personnalisés, etc.

Je sais que je pourrais utiliser les comptes Service et NetworkService intégrés, mais il est possible que je ne puisse pas les utiliser en raison des stratégies réseau en place.

windows-servicespermissionsrights
38
Paul Nearney

Deux voies:

  1. Modifiez les propriétés du service et définissez l'utilisateur de connexion. Le droit approprié sera automatiquement attribué.

  2. Définissez-le manuellement: accédez à Outils d'administration -> Stratégie de sécurité locale -> Stratégies locales -> Attribution des droits utilisateur. Modifiez l'élément "Se connecter en tant que service" et ajoutez-y votre utilisateur de domaine.

73
spoulson

Je sais que le compte doit disposer des privilèges "Connexion en tant que service". A part ça, je ne suis pas sûr. Une référence rapide à la connexion en tant que service peut être trouvée ici , et il y a beaucoup d'informations sur les privilèges spécifiques ici .

3
Chris Marasti-Georg

"BypassTraverseChecking" signifie que vous pouvez accéder directement à n'importe quel sous-répertoire de niveau profond même si vous n'avez pas tous les privilèges d'accès intermédiaires aux répertoires intermédiaires, c'est-à-dire tous les répertoires au-dessus vers le niveau racine.

2
ths

Merci pour les liens, Chris. Je me suis souvent posé des questions sur les effets spécifiques de privilèges comme "BypassTraverseChecking", mais je n'ai jamais pris la peine de les rechercher.

J'avais des problèmes intéressants pour faire fonctionner un service et j'ai découvert qu'il n'avait pas accès à ses fichiers après l'installation initiale par l'administrateur. Je pensais qu'il avait besoin de quelque chose en plus de l'ouverture de session en tant que service jusqu'à ce que je trouve le problème de fichier.

  1. Partage de fichiers simple désactivé.
  2. J'ai temporairement fait de mon compte de service un administrateur.
  3. Utilisé le compte de service pour s'approprier les fichiers.
  4. Supprimez le compte de service du groupe d'administrateurs.
  5. Redémarrez.

Pendant la prise de possession, il était nécessaire de désactiver l'héritage des autorisations des répertoires parents et d'appliquer les autorisations de manière récursive dans l'arborescence.

N'a pas pu trouver une option "donner propriété" pour éviter de faire du compte de service un administrateur temporairement, cependant.

Quoi qu'il en soit, j'ai pensé publier ceci au cas où quelqu'un d'autre emprunterait la même voie que je cherchais pour les problèmes de politique de sécurité alors qu'il ne s'agissait que de droits sur le système de fichiers.

1
T.Rob