Мой разработчик сообщает мне, что для запуска службы с ограниченными привилегиями встроенной учетной записи SYSTEM \ LocalService ему необходимо предоставить ей право «вход в систему в качестве службы».
Как такое может быть? Половина служб на моем компьютере с Windows 2012 R2 работает как LocalService (другая половина, по необъяснимым причинам, LocalSystem).
Разработчик указывает мне на эту страницу, где права действительно не указаны. https://msdn.microsoft.com/en-us/library/windows/desktop/ms684188%28v=vs.85%29.aspx
Может кто-нибудь объяснить мне этот парадокс?
Вам не нужно предоставлять эту привилегию, поскольку LocalService, поскольку встроенная учетная запись уже имеет к ней доступ. Многие службы работают как LocalService (и есть выбор, когда вы смотрите на свойства службы). Вам нужно предоставить это разрешение только в том случае, если вы пытаетесь запустить службу от имени пользователя домена, который обычно не имеет такой привилегии.
Если вы посмотрите на эту ссылку, она также не показывает, что localsystem имеет право входить в систему в качестве службы. https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx. Недостающее право не обязательно отсутствует. Уже «известно», что он может входить в систему как сервис. Перечисленные там разрешения связаны с тем, что он может делать после входа в систему. Даже в настройке gpo для «входа в систему как служба» упоминается следующее: «Службы могут быть настроены для работы под учетными записями локальной системы, локальной службы или сетевой службы, которые иметь встроенное право входа в систему в качестве службы. Любой службе, работающей под отдельной учетной записью пользователя, должно быть назначено это право ".