伺服器登錄服務最佳實踐

我看過很多關於使用域服務帳戶執行應用程序的最佳實踐文章。我已經通過設置 GPO 在我的實驗室進行了嘗試，以允許特定域使用者作為服務登錄

但是，當我安裝了一個新程序（例如監控工具代理）時，它仍然可以由本地系統執行。並且應用程序服務在我重新啟動後仍然作為本地系統執行。

據我所知，本地系統具有非常高的權限，每個人都說除非需要，否則您應該避免使用它。這意味著當我安裝時，我必須手動將服務登錄作為服務更改為服務帳戶，對嗎？

我可以通過設置 GPO 或系統資料庫來阻止服務與本地系統一起執行嗎？

或者我只需要在某些應用程序上使用服務帳戶，如 SQL 服務、Web 服務和應用程序服務？

如果我的問題不清楚，我很抱歉，建議或任何建議都非常感謝

1. 有許多系統服務需要作為 LocalSystem 執行；如果您實際上設法在全域範圍內阻止所有服務這樣執行，這將導致您的系統完全崩潰。
2. 我假設您想阻止作為服務執行的*應用程序作為 LocalSystem 執行；*沒有辦法強制執行。
3. 每個服務使用的使用者帳戶特定於其配置；這是在安裝服務時配置的，通常由安裝程序配置；這可以由管理員稍後更改，但您需要確保您選擇的使用者帳戶具有所有必需的權限（文件夾訪問、系統資料庫訪問、系統權限等）；此外，更改 Windows 服務登錄屬性通常還不夠：您必須實際配置應用程序以使用新服務帳戶（請參閱 SQL Server 作為範例）。
4. 大多數安裝服務的安裝程序都會要求使用服務帳戶；如果他們不使用並且只使用 LocalSystem，那麼他們很可能確實需要它（或者開發人員可能很懶惰​​）；您需要與開發人員/供應商核實是否可以更改以及如何更改。

TL；DR：不，沒有辦法強制執行“所有服務都應使用域帳戶執行”的全球標準；這必須為每個應用程序單獨管理。

引用自：https://serverfault.com/questions/1077013