查看计算机上的非 Microsoft 服务时,大多数服务都是以 SYSTEM 帐户执行的。Windows 中是否有一种机制可以阻止以 SYSTEM 身份运行的任何服务读取/写入其他服务文件夹中的数据(因为 SYSTEM 在那里具有读/写权限)?我读到了一些关于每个服务都是其自己的主体(服务主体名称)的内容,但我不确定它是否适用于此处。
答案1
如果两个服务在同一个帐户(无论其名称是什么)下执行,它们对磁盘上的文件具有相同的访问权限。
如果您想要将其分开,则需要创建新帐户。这很常见。例如,当我在我们的 Windows 服务器上安装 FileZilla FTP 服务器时,我会为其创建新用户。同样,当我安装 Apache Web 服务器时,我会为其创建新用户。有些软件本身支持它,但对于大多数第三方软件,您需要正常安装它,然后停止其服务并将其设置为在您创建的新用户帐户下运行,然后重新启动它。
这将为您提供您正在寻找的分离。看起来似乎有很多工作要做,但如果您花时间并明智地创建您的组及其用户,事情就不会那么糟糕。