叹
我们有一个应用程序在 2K8R2 服务器上作为系统服务运行,但用于运行该应用程序的帐户需要在其配置文件中安装打印机,以便某些功能能够按照供应商的要求运行。
供应商表示,如果它不是以 SYSTEM 身份运行,那么运行该服务的帐户必须是该机器的本地管理员。坦率地说,这对我来说似乎有点糟糕。我认为使用旧技巧获取交互式命令提示符很容易将打印机安装为系统at,但如果我在 2008R2 上以 SYSTEM 帐户身份安装打印机,是否还有其他影响?
答案1
注意:写完这个答案后,我意识到我并没有完全回答你最初的问题。但假设你听从了我的建议,你就不需要那个答案了。
大多数声称其软件需要以本地管理员身份运行(无论是否为服务)的软件供应商基本上是在告诉您,他们的开发人员太懒或太无能,无法准确记录其应用需要哪些权限才能以最低权限运行。如果您有时间和耐心,您可以对他们采取强硬态度,拒绝使用他们的产品,直到他们修复问题并提供适当的最低权限文档。如果该应用对您的业务比您的业务对供应商更重要,那么您可能不得不遵守他们提出的任何荒谬要求。
至于以 SYSTEM 身份运行,而不是以本地管理员身份运行。在我看来,以 SYSTEM 身份运行实际上比本地管理员帐户更不安全。它对您的域具有基本的读取权限以及计算机帐户被授予的任何其他权限。审计起来更困难。它对本地系统的损害与本地管理员一样大。
我肯定会为这个应用程序使用专门定义的服务帐户。使用本地帐户还是域帐户取决于您。两者都能让您更好地进行审核。本地帐户将没有对域的读取权限。域帐户更容易集中管理。两者都可以使用组策略在本地管理员组中添加和删除。显然,将打印机添加到真实帐户比系统帐户更容易。
答案2
我最终从注册表中导出了打印机的注册表项,并将其导入 HKCU/.Default,一切正常。SYSTEM 可以访问打印机,应用程序运行正常。