我遇到了一个问题,即新创建的托管服务帐户没有“作为服务登录”权限。GPO 将“NT SERVICE\ALL SERVICES”从“作为服务登录”中排除。这个问题已修复。
我是否正确地认为 Install-ADServiceAccount 将 MSA 帐户添加到“NT SERVICE\ALL SERVICES”?
答案1
是也不是。
ALL SERVICES是众所周知的安全标识符,其成员资格是根据硬编码到操作系统中的规则隐式确定的。也就是说,您无法添加或删除用户,安全标识符会自动分配给适当的用户或在适当的情况下分配。
(例如,Local account会自动分配给所有本地帐户,Interactive如果您以交互方式登录,则会分配,而Network当您访问网络共享时则适用。 Microsoft 网站提供的 Process Explorer 是一种检查与任何给定进程相对应的安全标识符的便捷方法;查看“属性”对话框的“安全”选项卡。)
SID 为ALL SERVICESS-1-5-80-0,描述为KB243330说:
SID S-1-5-80-0 = NT 服务\所有服务
名称:所有服务
描述:包含系统上配置的所有服务进程的组。成员资格由操作系统控制。
这表明该标识符被授予作为服务运行的任何进程。 不是这种情况。 有一个众所周知的安全标识符被授予任何服务,但那是 S-1-5-6 NT AUTHORITY\SERVICE,。
看起来ALL SERVICES实际上意味着服务帐户。
这包括虚拟账户(我已检查)以及托管服务账户。然而,需要注意的是,它确实不是包括NETWORK SERVICE或LOCAL SERVICE可能预期到的。
综上所述,Install-ADServiceAccount不明确地添加新帐户,ALL SERVICES但结果是一样的;您创建的任何新托管服务帐户都将成为成员。