假设您有一个活动的目录域,并且您希望有一个服务帐户在域上的多台计算机上运行特定的Windows服务。 服务帐户需要在所有服务器上是相同的帐户,因为它需要在所有服务器上具有某些(文件访问)权限。
您需要此用户能够运行服务的最低权限是“作为服务login”权限 – 事实上,一旦您转到“服务”面板并尝试与域用户build立服务(无论我相信他们已拥有什么权利),他们会自动获得“作为服务login”权限。
我试图去理解的是,这其他权利/权限,这自动暗示;
我发现使用“login即服务”权限在域帐户下运行并且没有其他(有意,至less)权限的服务仍然能够读取本地文件系统上的文件。 这是否意味着我有一个我不知道的权限inheritance,或者是否意味着“以服务login”还授予某些文件访问权限或服务器上的其他权限?
我想另一种方式来问这个问题 – 是否有一个实用工具,可以告诉你,对于一个给定的对象/用户/帐户,究竟是什么权利,为什么/从哪里?
有不同的logintypes 。 指定一个给定的帐户或组具有“作为服务login”权限允许该帐户或Grup使用该特定的logintypeslogin。 “以服务login”不授予帐户的任何其他权限,而不是使用“LOGON32_LOGON_SERVICE”typeslogin的权限。
组成员身份(如“用户”组中的成员身份)驱动从文件系统读取文件的能力。 在login时使用“WHOAMI / ALL”命令作为服务用户可以向您显示授予给定用户帐户(包括SeLogonServiceLogonRight–“login即服务”权限背后的专有权)的所有组成员和权限。 SysInternals“进程pipe理器”工具可以为运行进程(通过枚举其安全令牌)执行此操作。
就审计文件系统访问而言,你将不得不写一些东西或find一个第三方工具来枚举你想testing的所有文件和目录。 文件系统ACL没有中央“交换所”。 他们遍布整个文件系统。 如果您想知道“哪些文件/文件夹xxx用户有权访问”,则必须testing所有要查看的文件和文件夹。
SysInternals工具“ procexp ”会给你这个。 运行该工具,search服务启动的进程,右键单击它并转到属性。 在“安全”选项卡上,它会给你一个由该进程拥有的权限列表,并告诉你是谁login的。 这应该可以帮助您追溯服务过程的访问环境。