我试图locking我的IIS和SQL服务器。 我有一个要检查的项目清单,但清单没有考虑TrustedInstaller帐户,这似乎对所有内容都有文件权限。
我遇到的一个问题是我需要做一些registry/ DLL的更改。 我需要修改的许多registry项以及整个System32文件夹都属于TrustedInstaller。 为了使我需要做的改变,我不得不采取文件/registry项的所有权,然后给予我自己额外的访问权限。
我遇到的另一个问题是locking某些文件夹,例如system32中的IIS dll。 我想最大限度地减less有权访问此文件夹的帐户数量,并且我再次注意到TrustedInstaller是所有者,并且完全控制这些文件。
那么,TrustedInstaller的用途是什么,它是否需要成为这些文件的所有者? 如果不是所有者,是否需要完全控制这些文件?
我正在使用Windows Server 2008 R2。
您不需要更改安全权限。
在最近版本的Windows中,像System32这样的Windows文件,只有TrustedInstaller才具有修改权限,甚至没有系统帐户。
从Windows Vista和Windows Server 2008开始,Windows服务可以位于文件夹的ACL中。 TrustedInstaller帐户是Windows Windows模块安装程序 ,用于在Windows执行更新时更改文件。
您不需要也不应该更改此默认行为。