為什麼使用者可以授予自己作為服務登錄的權限?
本文介紹了授予 Active Directory 使用者“作為服務登錄”權限應執行的(相對費力的)步驟。但是,如果我安裝服務並手動指定我的 AD 帳戶的登錄憑據(服務屬性 | 登錄),Windows 會告訴我“帳戶
$$ myaccount $$已被授予作為服務登錄的權利。然後我可以在我的帳戶憑據下執行該服務。但是,在隨後重新安裝該服務時(或有時在重新啟動時),由於登錄失敗,該服務再次無法啟動……直到我再次進入並手動輸入我的憑據,並且該帳戶被神奇地“授予” “作為服務登錄”權利。在此之後,該服務可以再次在我的帳戶憑據下啟動。 這裡發生了什麼?為什麼我顯然有權即時授予自己此權利?如果我可以即時授予它,為什麼它不保持授予狀態而我必須繼續重新授予它?請記住,我不是在問如何通過 Active Directory 授予某人此權限 - 我說的是,當您在登錄視窗中輸入您的憑據時,此權限似乎是由 Windows“自動授予”的。
聽起來好像有一個組策略定義了被授予作為服務登錄的帳戶。因為您是管理員,所以您有權授予此權限,但是當重新應用組策略時,該權限將被刪除。下次服務停止時,它將無法啟動。
您應該更改策略的範圍/過濾以使該機器免受它的影響,或者使用該策略授予必要的權限。
來自評論的資訊:要檢查組策略是否正在應用設置,請使用生成的策略嚮導集 (rsop.msc)
如果您想將此設置應用於多台電腦或無法刪除定義此設置的現有策略,請使用組策略來定義它。有一篇technet 文章解釋瞭如何執行此操作。
要檢查目前的本地安全設置,請使用 secpol.msc - 展開本地策略,然後選擇使用者權限分配。這將顯示目前應用的設置。如果您有足夠的訪問權限並且沒有有效的組策略,那麼這將允許您編輯目前策略。如果添加/刪除按鈕被禁用,則目前策略定義了此設置。
如果沒有生效的策略,那麼允許 windows 授予使用者權限是完全可以的,這只是 windows 提供的一個便利功能。正如 Jez 發現的那樣,如果一項政策已經生效,那麼與之抗爭是毫無意義的。政策通常每隔幾個小時重新應用一次,並且會不斷改變您已設法做出的任何更改。(儘管該服務將繼續工作,直到由於其他原因停止)。Jez 提到他認為服務是由安裝時生成的 LUID 標識的。我不知道是否是這種情況,但作為服務登錄使用者權限不限於任何特定服務。因此,您想以何種服務身份登錄不會有任何區別。
因此,要更直接地回答 Jez 的評論,如果有有效的政策,那麼在禁用的 secpol.msc UI 周圍尋找方法是沒有意義的。UI 被禁用,以警告您所做的任何更改都不會保留。在這種情況下,編輯策略是前進的方向,要麼授予特權,要麼停止進行該設置,以便隨後可以在本地分配。
編輯:您似乎認為授予域使用者此特權與將其授予本地使用者有所不同。它不是。如果有問題的 PC/伺服器沒有應用任何組策略,則打開 secpol.msc,進入有問題的權限,點兩下,點擊添加,然後選擇所需的帳戶。我剛剛在加入域的筆記型電腦上嘗試過這個,添加使用者對話框實際上預設為域。如果我想選擇一個本地組,那麼我必須更改位置。
如果您點兩下該權限,那麼我假設您看到列表和添加/刪除按鈕,但這些按鈕已禁用,因此您無法編輯列表。這不可能是因為您正在添加域帳戶,因為您尚未選擇是添加本地帳戶還是域帳戶。
我在工作中確實遇到了這個問題,我正在安裝的服務只在一台 PC 上執行,因此更改策略不是一種選擇。我們將有問題的 PC 移至未應用任何策略的 OU,然後我可以毫無問題地授予權限。
您可以通過迂迴方式授予權限的原因是策略只是禁用 UI,它實際上並沒有更改您擁有的權限。但是,它確實會定期重新應用,這就是設置被覆蓋的原因。