假设您有一个 Active Directory 域,并且您希望让服务帐户在域中的多台计算机上运行某个 Windows 服务。服务帐户在所有服务器上必须是同一个帐户,因为它需要在所有服务器上具有某些(文件访问)权限。
该用户运行服务所需的最低权限是“作为服务登录”权限 - 事实上,只要您进入服务面板并尝试与域用户一起设置服务(我相信,无论他们已经拥有什么权限)他们都会自动被分配“作为服务登录”权限。
我想要了解的是这自动暗示了哪些其他权利/权限;
我发现,在具有“以服务身份登录”权限而没有其他(至少是故意的)权限的域帐户下运行的服务仍然能够读取本地文件系统上的文件。这是否意味着我在某个地方获得了我不知道的权限继承,或者这是否意味着“以服务身份登录”也授予了服务器上的某些文件访问权限或其他权限?
我想用另一种方式来提问 - 是否有一个实用程序可以告诉您,对于给定的对象/用户/帐户,它到底具有什么权利以及为什么/来自哪里?
答案1
有不同的登录类型。指定给定帐户或组具有“以服务方式登录”权限,允许该帐户或组使用该特定登录类型登录。除了以“LOGON32_LOGON_SERVICE”类型登录的能力外,“以服务方式登录”不会向帐户授予任何其他权限。
组成员身份(例如“用户”组的成员身份)决定了从文件系统读取文件的能力。以服务用户身份登录时使用“WHOAMI /ALL”命令可以显示授予给定用户帐户的所有组成员身份和权限(包括 SeLogonServiceLogonRight——“以服务身份登录”权限背后的权限)。SysInternals“进程资源管理器”工具可以为正在运行的进程执行此操作(通过枚举其安全令牌)。
就审计文件系统访问而言,您必须编写一些内容或找到第三方工具来枚举要测试的所有文件和目录。文件系统 ACL 没有中央“清算所”。它们散布在整个文件系统中。如果您想知道“xxx 用户可以访问哪些文件/文件夹”,您必须测试所有文件和文件夹才能看到。
答案2
SysInternals 工具'进程表达式' 将为您提供此信息。运行该工具,搜索服务启动的进程,右键单击它并转到属性。在“安全”选项卡上,它将为您提供该进程所拥有的权限列表,并告诉您它以谁的身份登录。这应该可以帮助您追踪服务进程的访问环境。