我想在Microsoft Windows Server上的不同用户下运行一个进程 (而不是服务),我需要这样做的最小权限集合 。
最小的一组权限是必需的,因为这个用户不应该只能login和访问所需的资源。
像这样的东西应该工作:
Start-Process -Credential $cred -FilePath calc.exe 我研究了用户权利政策,但没有获得值得注意的成功。
参考评论,我认为用户B至less需要“作为一个批处理作业login”的权利。 如果在用户B凭证下运行的进程意图完成某些任务,则可能需要向用户B授予额外的权限或特权以使这些任务正常工作。
本文列出了权限和专用权限,并详细说明了某些任务可能需要权限或特权的情况: https ://technet.microsoft.com/en-us/library/cc755971(v=ws.10).aspx
看来你可能试图做的是允许一个进程作为用户B在计算机上运行,即使用户B由于用户B具有“本地拒绝login”权限而不能以交互方式login,或者不是一个组的成员具有“允许本地login”权限。
“作为批处理作业login”将允许用户B用于由任务计划程序启动的进程。 试图在只有批处理作业权限且不具有交互权限的用户在交互式会话中启动进程(即以用户Alogin)可能会失败。 在这种情况下,授予用户B的“允许本地login”应使用户B能够使用该进程。 唯一的缺点是用户B可以交互式login,这可能是不希望的。
解决方法可能是“简单地安排”工作。 用户A不是实际运行命令的用户A,而是设置一个任务计划作业,然后在一分钟(或者某个时间)内设置它运行。
您需要读取/执行程序文件本身的权限,读取程序需要读取的任何文件的权限,并将权限写入程序需要编写的任何位置。 这和nix并不完全一样,真的。