Windows权限( 示例 )分配给帐户和组,默认情况下,“SERVICE”内置主体具有分配的一些权限,例如“impersonate user”权限。
我想为没有这个权限的服务创build一个受限帐户。 我可以以某种方式为这个特权设置一个“拒绝”规则,就像可以使用文件ACL一样吗? 或者我必须从SeImpersonatePrivilege受助人名单中删除“SERVICE”才能实现这一目标? (如果可以的话,我宁愿避免这样做,因为这可以设想打破其他服务)
编辑纠正脑云诱导的两个完全不相关的东西合并成一个问题的怪物。
不,Windows权限与文件系统ACL完全不同。
您使用Windows API以编程方式调整Windows权限。 没有GUI。 他们是二元的; 权限可以被添加或带走,但是没有像NTFS ACL等中的“拒绝”机制。
例如,我需要将advapi32.dll导入到我的代码中,以访问GetTokenInformation()函数,其中包含给定SID帐户的权限。
我不确定我是否同意断言domain \ Users组默认情况下具有SeImpersonatePrivilege。 这将面临任何保护Windows环境的尝试。
检查您的本地安全策略和您的域策略,并展开计算机configuration – >策略 – > Windows设置 – >安全设置 – >本地策略 – >用户权限分配,并选中“身份validation后模拟客户端”设置。 我没有看到任何地方列出的用户组。