我的开发人员告诉我,为了使用内置帐户 SYSTEM\LocalService 的降低权限运行服务,他需要授予其“作为服务登录”权限。
怎么会这样?我的 Windows 2012 R2 计算机中有一半的服务都以 LocalService 身份运行(另一半则莫名其妙地以 LocalSystem 身份运行)。
开发人员向我指出了这个页面,但事实上,那里没有列出权利。 https://msdn.microsoft.com/en-us/library/windows/desktop/ms684188%28v=vs.85%29.aspx
有人能向我解释一下这个悖论吗?
答案1
您无需授予此权限,因为 LocalService 作为内置帐户已经具有访问权限。许多服务都以 LocalService 身份运行(查看服务的属性时会选择此选项)。如果您尝试以域用户身份运行服务(通常没有该权限),则只需授予此权限。
答案2
如果您查看此链接,它也不会显示本地系统具有作为服务登录的权限。https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx。缺失的权限不一定是缺失的。它已经“知道”它可以作为服务登录。那里列出的权限与它登录后可以执行的操作有关。甚至在“作为服务登录”的 gpo 设置中也提到了这一点:“可以将服务配置为在本地系统、本地服务或网络服务帐户下运行,这些帐户具有作为服务登录的内置权限。任何在单独的用户帐户下运行的服务都必须分配该权限。”