安全性：TrustedInstaller 需要多少訪問權限？

我正在嘗試鎖定我的 IIS 和 SQL 伺服器。我有一個要檢查的項目清單，但清單沒有考慮 TrustedInstaller 帳戶，該帳戶似乎對所有內容都具有文件權限。

我遇到的一個問題是我需要進行一些系統資料庫/dll 更改。我需要修改的許多系統資料庫項以及整個 System32 文件夾都歸 TrustedInstaller 所有。要進行我需要進行的更改，我必須擁有文件/系統資料庫項的所有權，然後授予自己額外的訪問權限。

我遇到的另一個問題是鎖定某些文件夾，例如 system32 中的 IIS dll。我想盡量減少有權訪問此文件夾的帳戶數量，並且我再次注意到 TrustedInstaller 是所有者並且可以完全控制這些文件。

那麼，TrustedInstaller 到底是用來做什麼的，它是否需要成為這些文件的所有者？如果不是所有者，是否需要完全控制這些文件？

我正在使用 Windows Server 2008 R2。

您無需更改權限以確保安全。

在最近版本的 Windows 中，像 System32 這樣的 Windows 文件中只有TrustedInstaller具有修改權限，甚至沒有系統帳戶。

從 Windows Vista 和 Windows Server 2008 開始，Windows Services 可以位於文件夾的 ACL 中。TrustedInstaller帳戶是服務Windows 模組安裝程序，用於在 Windows 執行更新時更改文件。

您不需要也不應該更改此預設行為。

引用自：https://serverfault.com/questions/291552