Managed-Service-Accounts

Install-ADSericeAccount 是否修改“NT SERVICEALL SERVICES”

  • September 4, 2019

我遇到了一個問題,新創建的託管服務帳戶沒有“作為服務登錄”的權限。GPO 從“作為服務登錄”中排除了“NT SERVICE\ALL SERVICES”。這是固定的。

我是否認為 Install-ADServiceAccount 將 MSA 帳戶添加到“NT SERVICE\ALL SERVICES”?

是和不是。

ALL SERVICES是一個眾所周知的安全標識符,其成員資格是基於硬編碼到作業系統中的規則的隱式。也就是說,您不能添加或刪除使用者,安全標識符會自動分配給適當的使用者或在適當的情況下。

(例如,Local account自動分配給所有本地帳戶,並Interactive在您以互動方式登錄時分配,Network而在您訪問網路共享時應用。Process Explorer,可從 Microsoft 網站獲得,是檢查安全性的便捷方式對應於任何給定程序的標識符;查看“屬性”對話框的“安全”選項卡。)

的 SIDALL SERVICES是 S-1-5-80-0,KB243330 中的描述

SID S-1-5-80-0 = NT 服務\所有服務

名稱:所有服務

描述:包含系統上配置的所有服務程序的組。成員資格由作業系統控制。

這表明該標識符被授予作為服務執行的任何程序。 不是這種情況。 有一個眾所周知的安全標識符被授予任何服務,但它是 S-1-5-6 NT AUTHORITY\SERVICE,.

看起來ALL SERVICES實際上意味著所有服務帳戶

這包括虛擬帳戶(我已經檢查過)以及託管服務帳戶。但是,應該注意的是,它不包括NETWORK SERVICE可能LOCAL SERVICE預期的那樣。


總之,Install-ADServiceAccount沒有明確添加新帳戶ALL SERVICES但結果是一樣的;您創建的任何新託管服務帳戶都將成為成員。

引用自:https://serverfault.com/questions/981819