Install-ADSericeAccount 是否修改“NT SERVICEALL SERVICES”
我遇到了一個問題,新創建的託管服務帳戶沒有“作為服務登錄”的權限。GPO 從“作為服務登錄”中排除了“NT SERVICE\ALL SERVICES”。這是固定的。
我是否認為 Install-ADServiceAccount 將 MSA 帳戶添加到“NT SERVICE\ALL SERVICES”?
是和不是。
ALL SERVICES是一個眾所周知的安全標識符,其成員資格是基於硬編碼到作業系統中的規則的隱式。也就是說,您不能添加或刪除使用者,安全標識符會自動分配給適當的使用者或在適當的情況下。(例如,
Local account自動分配給所有本地帳戶,並Interactive在您以互動方式登錄時分配,Network而在您訪問網路共享時應用。Process Explorer,可從 Microsoft 網站獲得,是檢查安全性的便捷方式對應於任何給定程序的標識符;查看“屬性”對話框的“安全”選項卡。)的 SID
ALL SERVICES是 S-1-5-80-0,KB243330 中的描述說:SID S-1-5-80-0 = NT 服務\所有服務
名稱:所有服務
描述:包含系統上配置的所有服務程序的組。成員資格由作業系統控制。
這表明該標識符被授予作為服務執行的任何程序。 不是這種情況。 有一個眾所周知的安全標識符被授予任何服務,但它是 S-1-5-6
NT AUTHORITY\SERVICE,.看起來
ALL SERVICES實際上意味著所有服務帳戶。這包括虛擬帳戶(我已經檢查過)以及託管服務帳戶。但是,應該注意的是,它不包括或
NETWORK SERVICE可能LOCAL SERVICE預期的那樣。總之,
Install-ADServiceAccount沒有明確添加新帳戶ALL SERVICES但結果是一樣的;您創建的任何新託管服務帳戶都將成為成員。