我的开发人员告诉我,要使用内置帐户SYSTEM \ LocalService的权限降低来运行服务,他需要将其授予“作为服务login”权限。
这怎么可能是这样? 我的Windows 2012 R2机器中的一半服务以LocalService(另一半,无法解释的LocalSystem)运行。
开发人员指向我这个页面,其中的权利确实没有在那里列出。 https://msdn.microsoft.com/en-us/library/windows/desktop/ms684188%28v=vs.85%29.aspx
有人可以向我解释这个悖论吗?
您无需授予此特权,因为LocalService作为内置帐户已具有访问权限。 许多服务以LocalService的forms运行(并且在查看服务的属性时有一个select)。 如果您尝试以通常不具有该特权的域用户身份运行服务,则只需授予此权限。
如果你看看这个链接,它也不会显示localsystem有权作为服务login。 https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx 。 缺less的权利不一定是错过的。 已经“知道”它可以作为服务login。 这里列出的权限与login后可以执行的操作有关。即使在“login为服务”的gpo设置中也提到:“服务可以configuration为在本地系统,本地服务或networking服务帐户下运行,有作为服务login的权利,任何在单独的用户帐户下运行的服务都必须被赋予权利。