作为域帐户运行Windows服务所需的最小权限[已关闭]

两种方式:

1. 编辑服务的属性并设置登录用户。将自动分配相应的权限。

2. 手动设置:转到管理工具->本地安全策略->本地策略->用户权限分配。编辑“作为服务登录”项,并将您的域用户添加到其中。

我知道这个帐户需要有“作为服务登录”的特权。除此之外,我不确定。可以找到作为服务登录的快速参考 here 还有很多关于特定特权的信息 here .

“旁路遍历检查”意味着您可以直接访问任何深层次的子目录,即使您没有中间访问权限访问其中的目录,也就是说,它上面的所有目录都可以访问根目录。

谢谢你的链接,克里斯。我经常想知道特权的具体效果,比如“绕过遍历检查”,但从未费心去查找它们。

我在让一个服务运行时遇到了一些有趣的问题,并且发现在管理员完成初始安装后,它没有访问它的文件的权限。在我发现文件问题之前,我认为除了作为服务登录之外还需要一些东西。

1. 已禁用简单文件共享。
2. 暂时将我的服务帐户设置为管理员。
3. 使用服务帐户取得文件的所有权。
4. 从管理员组中删除服务帐户。
5. 重新启动。

在取得所有权的过程中,有必要禁用父目录中权限的继承,并沿树递归地应用权限。

找不到一个“ 给 但是,“所有权”选项可避免使服务帐户暂时成为管理员。

不管怎样,我想我会发布这个消息,以防其他人也走上同样的道路,我在寻找安全策略问题时,它实际上只是文件系统权限。