Windows
伺服器登錄服務最佳實踐
我看過很多關於使用域服務帳戶執行應用程序的最佳實踐文章。我已經通過設置 GPO 在我的實驗室進行了嘗試,以允許特定域使用者作為服務登錄
但是,當我安裝了一個新程序(例如監控工具代理)時,它仍然可以由本地系統執行。並且應用程序服務在我重新啟動後仍然作為本地系統執行。
據我所知,本地系統具有非常高的權限,每個人都說除非需要,否則您應該避免使用它。這意味著當我安裝時,我必須手動將服務登錄作為服務更改為服務帳戶,對嗎?
我可以通過設置 GPO 或系統資料庫來阻止服務與本地系統一起執行嗎?
或者我只需要在某些應用程序上使用服務帳戶,如 SQL 服務、Web 服務和應用程序服務?
如果我的問題不清楚,我很抱歉,建議或任何建議都非常感謝
- 有許多系統服務需要作為 LocalSystem 執行;如果您實際上設法在全域範圍內阻止所有服務這樣執行,這將導致您的系統完全崩潰。
- 我假設您想阻止作為服務執行的*應用程序作為 LocalSystem 執行;*沒有辦法強制執行。
- 每個服務使用的使用者帳戶特定於其配置;這是在安裝服務時配置的,通常由安裝程序配置;這可以由管理員稍後更改,但您需要確保您選擇的使用者帳戶具有所有必需的權限(文件夾訪問、系統資料庫訪問、系統權限等);此外,更改 Windows 服務登錄屬性通常還不夠:您必須實際配置應用程序以使用新服務帳戶(請參閱 SQL Server 作為範例)。
- 大多數安裝服務的安裝程序都會要求使用服務帳戶;如果他們不使用並且只使用 LocalSystem,那麼他們很可能確實需要它(或者開發人員可能很懶惰);您需要與開發人員/供應商核實是否可以更改以及如何更改。
TL;DR:不,沒有辦法強制執行“所有服務都應使用域帳戶執行”的全球標準;這必須為每個應用程序單獨管理。