我正在使用创建 AD 帐户的服务。此服务不是管理员(我也不希望它是管理员) - 但它需要能够为新创建的帐户Log in as a Batch Job分配用户权限(SeBatchLogonRight)。
我如何授予非特权帐户更改本地安全策略的权限?
答案1
你不能。
只有本地管理员组的成员才能修改本地安全策略。此限制是在 Windows 内部实现的,没有公开的设置可以更改它。
但该服务需要能够授予新创建的帐户以批处理作业形式登录的权限。
为其他用户帐户创建或修改权限的代码至少需要具有与所分配权限相同的特权。想象一个进程可以授予比代码本身更大的特权是不合逻辑的,因为事实上代码已经拥有了这些特权,因为它可以授予这些特权。
由于编辑本地安全策略的限制,您需要授予服务管理级别的权限。