Quelqu'un sait-il quels seraient les droits minimaux que j'aurais besoin d'accorder à un compte d'utilisateur de domaine afin d'exécuter un service Windows en tant que cet utilisateur?
Pour simplifier, supposez que le service ne fait rien de plus que de démarrer, d'arrêter et d'écrire dans le journal des événements "Application" - c'est-à-dire pas d'accès au réseau, pas de journaux d'événements personnalisés, etc.
Je sais que je pourrais utiliser les comptes Service et NetworkService intégrés, mais il est possible que je ne puisse pas les utiliser en raison des stratégies réseau en place.
Deux voies:
Modifiez les propriétés du service et définissez l'utilisateur de connexion. Le droit approprié sera automatiquement attribué.
Définissez-le manuellement: accédez à Outils d'administration -> Stratégie de sécurité locale -> Stratégies locales -> Attribution des droits utilisateur. Modifiez l'élément "Se connecter en tant que service" et ajoutez-y votre utilisateur de domaine.
"BypassTraverseChecking" signifie que vous pouvez accéder directement à n'importe quel sous-répertoire de niveau profond même si vous n'avez pas tous les privilèges d'accès intermédiaires aux répertoires intermédiaires, c'est-à-dire tous les répertoires au-dessus vers le niveau racine.
Merci pour les liens, Chris. Je me suis souvent posé des questions sur les effets spécifiques de privilèges comme "BypassTraverseChecking", mais je n'ai jamais pris la peine de les rechercher.
J'avais des problèmes intéressants pour faire fonctionner un service et j'ai découvert qu'il n'avait pas accès à ses fichiers après l'installation initiale par l'administrateur. Je pensais qu'il avait besoin de quelque chose en plus de l'ouverture de session en tant que service jusqu'à ce que je trouve le problème de fichier.
Pendant la prise de possession, il était nécessaire de désactiver l'héritage des autorisations des répertoires parents et d'appliquer les autorisations de manière récursive dans l'arborescence.
N'a pas pu trouver une option "donner propriété" pour éviter de faire du compte de service un administrateur temporairement, cependant.
Quoi qu'il en soit, j'ai pensé publier ceci au cas où quelqu'un d'autre emprunterait la même voie que je cherchais pour les problèmes de politique de sécurité alors qu'il ne s'agissait que de droits sur le système de fichiers.