我有一个服务,需要作为本地系统运行,才能正常工作。 如果我作为一个域用户甚至本地pipe理员运行它不能正常工作。 但是,我需要networking访问资源,这只发生在我作为一个域用户运行时。 我试图授予访问networking资源machinename$无济于事。 是否有可能授予本地系统相同的权限给域用户? 如果是的话如何?
编辑
更确切地说,我能够以普通用户身份运行服务。 然而,取决于服务的程序不能加载所有需要的进程,而当我作为本地系统时, 但是,作为本地系统,程序无法访问networking上的共享。
正确的问题是:为什么你的服务需要作为系统运行?
基本上,除非你build立某种RPC代理或者改变程序能够模拟一个域用户,否则你根本无法授予系统帐户对域资源的访问权限。
因此,请尝试以下操作:下载并运行进程监视器( procmon ),将其设置为注册所有相关进程的活动,并以本地用户身份运行。 之后,检查日志是否有任何访问被拒绝(错误代码5)的结果,并返回结果。 在这一点上,我们可以开始考虑如何通过ACL更改来修复它,或者解决它。
你已经configuration“login为服务”,然后将它们添加到他们需要的组? 我一直使用这个服务器上的服务。
http://technet.microsoft.com/en-us/library/cc739424(v=ws.10).aspx
我会尝试以域用户身份login,并以本地系统的身份运行服务。 否则,您可以尝试以本地用户身份login,并授予其访问您的networking资源的权限。
我将授予该act as part of the operating system并Log on as a service该域用户Log on as a service权限Log on as a service 。
为此,请打开MMC并添加本地计算机/组策略pipe理单元,展开本地计算机策略,计算机configuration,Windows设置,安全设置,本地策略,用户权限分配并编辑作为操作一部分的设置系统,并添加您的域用户到这个权利的帐户列表。 重复此操作以login作为服务应该在用户权限的相同列表中。
第一个特权,至less是一个危险的特权,所以我不会这么做,但我认为它会起作用。
说话却为您提供了服务。 正如斯蒂芬妮已经指出的那样,服务可能不需要作为本地系统运行。 你没有详细说明服务是什么,或者它做了什么,但这可能是你的根本问题。 解决这个问题是正确的做法,削弱安全性使其工作,是最糟糕的事情,为了小猫的爱,请不要使用域pipe理员权限运行它(我已经看到你已经尝试从您的意见),如果服务很容易被利用? 你可能刚刚准许某人完全访问你的整个广告,这可能对你来说是糟糕的一天。
我假设networking资源是一个文件共享? 只要计算机是域成员,如果服务作为本地系统运行,则授予计算机帐户对资源的访问权应该可以正常工作,但是您需要确保考虑共享和NTFS权限。 你可以通过启动一个以psexec作为本地系统运行的命令提示符来testing这个工作,然后尝试使用net use映射一个驱动器。 如果你把它设置正确,它应该工作。
我试图授予访问networking资源machinename $无济于事。
将计算机帐户添加到“域用户”组 。 您可以从Active Directory控制台执行此操作,只需确保在添加组成员时search计算机,因为在添加组成员时,默认情况下计算机不会显示在search结果中。
这样计算机上的本地系统用户将有权访问域资源。
获取进程监视器( http://technet.microsoft.com/en-us/sysinternals/bb795533.aspx )。 在服务执行不正确时继续运行。 看看是否有任何红色的标志提出或有任何文件或registry权限错误。 这应该给你一个想法,如果有一些本地进程无法运行。
我也会联系软件的支持,他们可能会引导你通过一个解决scheme…虽然我可以相信,如果他们说:我们所需要的是本地系统,为什么你想要更多?
也就是说,如果您尝试使用本地pipe理员,并且将用户设置为能够作为服务login并充当操作系统的一部分,则应该消除任何本地问题。 你有没有尝试将其设置为域pipe理员,只是为了看? 如果以用户身份运行,则可能不需要计算机帐户有权访问,但肯定会要求运行的用户具有权限。 尝试使用相同的本地安全策略设置集,将用户添加到需要networking访问的其他框中。