41

そのユーザーとして Windows サービスを実行するために、ドメイン ユーザー アカウントに付与する必要がある最小限の権限を知っている人はいますか?

簡単にするために、サービスは開始、停止、および「アプリケーション」イベント ログへの書き込み以外には何もしないと仮定します。つまり、ネットワーク アクセスやカスタム イベント ログなどはありません。

組み込みの Service および NetworkService アカウントを使用できることはわかっていますが、ネットワーク ポリシーが原因でこれらを使用できない可能性があります。

4

4 に答える 4

83

ふたつのやり方:

  1. サービスのプロパティを編集し、ログオン ユーザーを設定します。適切な権限が自動的に割り当てられます。

  2. 手動で設定します: [管理ツール] -> [ローカル セキュリティ ポリシー] -> [ローカル ポリシー] -> [ユーザー権利の割り当て] に移動します。「サービスとしてログオン」項目を編集し、そこにドメイン ユーザーを追加します。

于 2008-10-07T14:16:24.603 に答える
4

アカウントに「サービスとしてログオン」権限が必要であることは知っています。それ以外はわかりません。サービスとしてログオンするためのクイック リファレンスはここにあります。また、ここには特定の権限に関する多くの情報があります。

于 2008-10-07T14:14:43.793 に答える
2

「BypassTraverseChecking」は、中間のディレクトリへのすべての中間アクセス権限を持っていない場合でも、深いレベルのサブディレクトリに直接アクセスできることを意味します。つまり、ルート レベルまでのすべてのディレクトリです。

于 2011-02-24T10:13:12.370 に答える
1

リンクをありがとう、クリス。「BypassTraverseChecking」のような特権の特定の効果についてよく疑問に思いましたが、調べようとはしませんでした。

サービスを実行する際に興味深い問題が発生し、管理者が最初のインストールを行った後、そのファイルにアクセスできないことがわかりました。ファイルの問題が見つかるまで、サービスとしてのログオンに加えて何かが必要だと思っていました。

  1. 簡易ファイル共有を無効にしました。
  2. サービス アカウントを一時的に管理者にしました。
  3. サービス アカウントを使用してファイルの所有権を取得しました。
  4. 管理者グループからサービス アカウントを削除します。
  5. リブート。

所有権の取得中は、親ディレクトリからのアクセス許可の継承を無効にし、ツリーの下に再帰的にアクセス許可を適用する必要がありました。

ただし、サービス アカウントを一時的に管理者にすることを避けるための「所有権を与える」オプション を見つけることができませんでした。

とにかく、他の誰かが同じ道を進んでいる場合に備えて、これを投稿すると思いました.

于 2010-01-05T02:28:15.137 に答える