Domain

如何為域控制器上的 Windows 服務指定 NetworkService 或 LocalService?

  • August 15, 2019

這個問題與這些現有問題不重複:

我在不同的電腦上配置了 Windows 服務:

  • 工作站(非域)電腦(執行 Windows 10)
  • 工作站(非域)Windows Server(執行 Windows Server 2016)
  • 域工作站(執行 Windows 10)
  • 域成員伺服器(執行 Windows Server 2016)
  • 域控制器(執行 Windows Server 2016)

加入域的電腦和成員伺服器:

在除域控制器之外的所有電腦中,services.msc> 服務屬性 > 登錄屬性表的“選擇使用者”彈出視窗讓我選擇NT AUTHORITY內置主體NETWORK SERVICELOCAL SERVICE(又名NT AUTHORITY\NetworkServiceNT AUTHORITY\LocalService)。

在此處輸入圖像描述

在此處輸入圖像描述

如果我忽略“搜尋使用者”視窗並在“network service選擇使用者”視窗中鍵入“”並點擊“檢查名稱”,則它正確解析為NETWORK SERVICE

在此處輸入圖像描述

域控制器:

但是,在此 Windows Server 2016 域控制器上,“選擇使用者”彈出視窗不允許我指定任何本地電腦名稱(這很有意義:本地電腦的安全系統成為域安全系統)。

…這意味著無法解析、搜尋或選擇NETWORK SERVICEor LOCAL SERVICE

在此處輸入圖像描述

在此處輸入圖像描述

當我直接在登錄選項卡中輸入它時,我收到此錯誤:

在此處輸入圖像描述

帳戶名無效或不存在,或指定帳戶名的密碼無效。

我注意到在域控制器上,“選擇使用者或服務帳戶”視窗只允許我選擇“服務帳戶”或“使用者”,而不是“內置安全主體”。

加入域的工作站或成員伺服器:

在此處輸入圖像描述

域控制器(Windows Server 2012 R2,但與 2016 相同):

在此處輸入圖像描述


我知道我可以通過sc config手動使用或編輯系統資料庫(或在“此帳戶:”文本框中鍵入“ Local Service”或“ Network Service”)來設置服務登錄帳戶,但我將使用“選擇使用者或域控制器上 Services.msc 之外的“服務帳戶”對話框?

根據您的最終螢幕截圖,您省略了帳戶名稱中的空格。試試Local Service吧。

如果這不起作用,您可以在命令行上執行此操作,如下所示,我將其寫為:

sc config ServiceName obj= "NT AUTHORITY\Local Service" password= ""

請注意,在命令行版本中,LocalService或者Local Service是可以接受的,但在 GUI 中只有後者有效。我不知道為什麼,但就是這樣。

在域控制器上執行此操作時,您需要將“內置安全主體”添加到您的對像類型中。實際上,您只搜尋使用者和服務帳戶對像類型。

引用自:https://serverfault.com/questions/952509