叹
我们有一个作为2K8R2服务器上的SYSTEM服务运行的应用程序,但是用于运行它的帐户需要在其configuration文件中安装打印机,以便根据供应商的某些function进行工作。
该供应商说,如果它不是以SYSTEM身份运行,那么运行该服务的帐户需要是本地pipe理员。 对我来说,这似乎有些低贱。 我想通过使用旧at技巧获得一个交互式命令提示符来安装一个打印机作为系统是非常容易的,但是如果我要在2008R2上安装一个打印机作为SYSTEM帐户,是否还有其他任何人都知道的含义?
注:写完这个答案后,我意识到我还没有完全回答你原来的问题。 但是假设你接受我的build议,你就不需要这个答案。
大多数声称他们的软件需要以本地pipe理员身份(服务或不是服务)运行的软件供应商基本上告诉你,他们的开发人员太懒惰或无能,无法准确地logging他们的应用程序需要什么权限才能以最小权限运行。 如果你有足够的时间和耐心,你可以采取强硬的态度,拒绝使用他们的产品,直到他们修复并提供适当的最小特权文件。 如果应用程序对您的业务比您的业务对供应商更重要,那么您可能会坚持遵守他们的任何荒谬要求。
至于运行SYSTEM而不是本地pipe理员。 在我看来,以SYSTEM身份运行实际上不如本地pipe理员帐户安全。 它具有对您的域的基本读取权限以及计算机帐户被授予的任何其他权限。 审计很难。 它可以对本地系统造成与本地pipe理员一样的损害。
我肯定会使用这个应用程序有目的地定义的服务帐户。 无论您使用本地帐户还是域帐户,都由您决定。 这两个让你更好的审计。 本地帐户将不具有对域的读取权限。 域帐户更容易集中pipe理。 可以使用组策略将两者从本地pipe理员组中添加或删除。 显然,将一台打印机添加到一个真实帐户比SYSTEM帐户更容易。
我结束了从registry中导出打印机的registry项并将其导入到HKCU / .Default,它工作正常。 系统有权访问打印机和应用程序正常工作。