Windows

伺服器登錄服務最佳實踐

  • September 8, 2021

我看過很多關於使用域服務帳戶執行應用程序的最佳實踐文章。我已經通過設置 GPO 在我的實驗室進行了嘗試,以允許特定域使用者作為服務登錄

但是,當我安裝了一個新程序(例如監控工具代理)時,它仍然可以由本地系統執行。並且應用程序服務在我重新啟動後仍然作為本地系統執行。

據我所知,本地系統具有非常高的權限,每個人都說除非需要,否則您應該避免使用它。這意味著當我安裝時,我必須手動將服務登錄作為服務更改為服務帳戶,對嗎?

我可以通過設置 GPO 或系統資料庫來阻止服務與本地系統一起執行嗎?

或者我只需要在某些應用程序上使用服務帳戶,如 SQL 服務、Web 服務和應用程序服務?

如果我的問題不清楚,我很抱歉,建議或任何建議都非常感謝

  1. 有許多系統服務需要作為 LocalSystem 執行;如果您實際上設法在全域範圍內阻止所有服務這樣執行,這將導致您的系統完全崩潰。
  2. 我假設您想阻止作為服務執行的*應用程序作為 LocalSystem 執行;*沒有辦法強制執行。
  3. 每個服務使用的使用者帳戶特定於其配置;這是在安裝服務時配置的,通常由安裝程序配置;這可以由管理員稍後更改,但您需要確保您選擇的使用者帳戶具有所有必需的權限(文件夾訪問、系統資料庫訪問、系統權限等);此外,更改 Windows 服務登錄屬性通常還不夠:您必須實際配置應用程序以使用新服務帳戶(請參閱 SQL Server 作為範例)。
  4. 大多數安裝服務的安裝程序都會要求使用服務帳戶;如果他們不使用並且只使用 LocalSystem,那麼他們很可能確實需要它(或者開發人員可能很懶惰​​);您需要與開發人員/供應商核實是否可以更改以及如何更改。

TL;DR:不,沒有辦法強制執行“所有服務都應使用域帳戶執行”的全球標準;這必須為每個應用程序單獨管理。

引用自:https://serverfault.com/questions/1077013