Регистрация Войти
Рейтинг:0
Nike avatar Server

Передовой опыт службы входа на сервер

флаг us
Nike

Я видел много статей с рекомендациями по запуску приложения с учетной записью службы домена. Я пробовал это в своих лабораториях, установив объект групповой политики, чтобы разрешить определенному пользователю домена входить в систему как службу.

Однако, когда я установил новую программу (например, агент инструментов мониторинга), она по-прежнему может работать в локальной системе. И служба приложений все еще работает как локальная система после перезапуска.

Насколько я знаю, у Local System очень высокие привилегии, и все говорили, что вам следует избегать ее использования, если в этом нет необходимости. Это означает, что когда я устанавливаю, мне нужно вручную изменить вход в службу как службу на учетную запись службы, верно?

Могу ли я предотвратить запуск службы с локальной системой, настроив объект групповой политики или реестр?

Или мне нужно использовать учетную запись службы только в некоторых приложениях, таких как службы SQL, веб-службы и службы приложений?

Я извиняюсь, если мои вопросы не были ясны, Предложение или любой совет благодарны

43
1 + 1
флаг cn
Greg Askew
«Могу ли я запретить запуск службы с локальной системой, настроив объект групповой политики или реестр?» Нет.
0
Ответить
Рейтинг:1
Massimo avatar Server
флаг ng
Massimo

  1. Есть много системных служб, которые должны работать как LocalSystem; если бы вам действительно удалось глобально запретить запуск всех служб как таковых, это привело бы к полному краху ваших систем.

  2. Я предполагаю, что вы хотите предотвратить Приложения которые запускаются как службы от имени LocalSystem; нет никакого способа обеспечить это.

  3. Учетная запись пользователя, используемая каждой службой, зависит от ее конфигурации; это настраивается при установке службы, обычно с помощью программы установки; это может быть изменен позже администратором, но вам необходимо убедиться, что выбранная вами учетная запись пользователя имеет все необходимые разрешения (доступ к папке, доступ к реестру, системные привилегии и т. д.); Кроме того, изменения свойств входа в службу Windows обычно недостаточно: вам нужно фактически настроить применение использовать новую учетную запись службы (см. пример SQL Server).

  4. Большинство программ-установщиков, устанавливающих службы, будут запрашивать учетную запись службы; если они этого не делают и просто используют LocalSystem, скорее всего, она им действительно нужна (или, может быть, разработчик был ленив); вам нужно уточнить у разработчика/поставщика, можно ли это изменить и как.

TL;DR: нет, невозможно обеспечить соблюдение глобального стандарта «все службы должны работать с использованием учетных записей домена»; это должно управляться индивидуально для каждого приложения.

0 + 1
Nike avatar
флаг us
Nike
Спасибо! Я потратил час, чтобы найти что-то подобное.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.