Windows services 作为域帐户运行windows服务所需的最低权限_Windows Services_Permissions_Rights

Windows services 作为域帐户运行windows服务所需的最低权限

windows-services permissions

Windows services 作为域帐户运行windows服务所需的最低权限,windows-services,permissions,rights,Windows Services,Permissions,Rights,有人知道我需要授予域用户帐户什么样的最低权限才能作为该用户运行windows服务吗为简单起见，假设服务除了启动、停止和写入“应用程序”事件日志之外什么都不做，即没有网络访问，没有自定义事件日志等我知道我可以使用内置服务和NetworkService帐户，但由于网络策略的原因，我可能无法使用这些帐户。我知道该帐户需要具有“作为服务登录”权限。除此之外，我不确定。可以找到作为服务登录的快速参考，其中有许多特定权限的信息。两种方式：编辑服务的属性并设置登录用户。将自动分配相应的权限手动设置：进

有人知道我需要授予域用户帐户什么样的最低权限才能作为该用户运行windows服务吗

为简单起见，假设服务除了启动、停止和写入“应用程序”事件日志之外什么都不做，即没有网络访问，没有自定义事件日志等

我知道我可以使用内置服务和NetworkService帐户，但由于网络策略的原因，我可能无法使用这些帐户。

我知道该帐户需要具有“作为服务登录”权限。除此之外，我不确定。可以找到作为服务登录的快速参考，其中有许多特定权限的信息。

两种方式：

编辑服务的属性并设置登录用户。将自动分配相应的权限

手动设置：进入管理工具->本地安全策略->本地策略->用户权限分配。编辑项目“作为服务登录”，并将您的域用户添加到其中

谢谢你的链接，克里斯。我经常想知道特权的具体效果，比如“绕过遍历检查”，但从来没有费心去查找它们

我在运行服务时遇到了一些有趣的问题，发现在管理员完成初始安装后，服务无法访问其文件。在我发现文件问题之前，我一直认为除了作为服务登录之外，它还需要一些东西

已禁用简单文件共享

暂时使我的服务帐户成为管理员

使用服务帐户获取文件的所有权

从管理员组中删除服务帐户

重新启动

在获取所有权的过程中，有必要禁用从父目录继承权限，并沿树递归应用权限

但是，无法找到“给予所有权”选项以避免将服务帐户临时设为管理员

无论如何，我想我会发布这篇文章，以防其他人也会这样做，我只是在寻找安全策略问题，而实际上这只是文件系统权限。

“BypassTraverseChecking”意味着您可以直接访问任何深层次的子目录，即使您没有对这两者之间的目录的所有中间访问权限，也就是说，它上面的所有目录都指向根级别。

Fantastic-因此基本服务只需要“作为服务登录”（加上服务中特定于逻辑的任何权限，例如访问网络资源）。出于某种原因，我认为有必要进行一场权利的大混乱。谢谢有时候，这似乎还不够。我做了这两件事，启动服务失败，错误为“本地计算机上的服务启动，然后停止。如果其他服务或程序未使用某些服务，则会自动停止。”。我必须让这个用户帐户成为管理员，它才能工作。如何真正做到#1？仅仅做这两个步骤并不能解决我的问题。我查看了事件日志，看看还能找到什么，并注意到驱动服务的域帐户没有写入服务日志文件的权限。我让这个域帐户成为本地管理员，它让我开始运行@沙多尼加。我在

本地管理组

中有一个域帐户，并且在

本地安全策略

中的

作为服务登录

中添加了域帐户，但我的服务仍然无法启动。我正在尝试在此域帐户下运行

主题

服务，但出现错误

服务帐户中不存在启动所需的权限

顺便说一句，它不需要拥有这些文件，它应该只需要文件的读取和执行权限。所讨论的文件包括运行时数据和静态构建时文件。静态文件可以读取/执行，但运行时文件需要更新、创建新文件和目录、删除文件等。可以在每个目录的基础上准确地计算出所需的内容，但它可能会随着版本甚至补丁包的变化而变化，并且很难诊断。因此，您认为所需的所有权少于完全所有权是正确的，但从可维护性的角度来看，我仍然建议您拥有所有权。这一点非常古老，但如果有人遇到它，您通常希望在这种情况下授予“修改”权。以简单的方式总结权限：*文件夹：允许读取和写入文件和子文件夹；允许删除文件夹*文件：允许读取和写入文件；允许删除文件“所有权”实际上并不授予对文件本身的任何访问权，只是授予设置权限的能力（完全控制包括这些权限）。管理员应该拥有完全的控制权，以防服务帐户失控。