Если посмотреть на службы сторонних разработчиков на моем компьютере, большинство из них выполняется как СИСТЕМА учетной записи. Есть ли в Windows механизм, который запрещает любой службе, работающей как SYSTEM, читать / записывать данные в папках других служб (поскольку SYSTEM имеет там разрешения на чтение / запись)? Я читал кое-что о том, что каждая служба является отдельным принципалом (имена участников службы), но не уверен, что это применимо здесь.
Если две службы выполняются под одной и той же учетной записью (независимо от ее имени), они имеют одинаковый доступ к файлам на диске.
Если вы хотите разделить это, вам нужно будет создать новые учетные записи. Это очень часто. Например, когда я устанавливаю FTP-сервер FileZilla на наши серверы Windows, я создаю для него нового пользователя. Точно так же, когда я устанавливаю веб-сервер Apache, я создаю для него нового пользователя. Некоторое программное обеспечение поддерживает его самостоятельно, но с большинством стороннего программного обеспечения вам необходимо установить его в обычном режиме, а затем остановить его службу и настроить для работы под новой учетной записью пользователя, которую вы создали, и запустить ее снова.
Это обеспечит вам разделение, которое вы ищете. Может показаться, что предстоит много работы, но если вы не торопитесь и грамотно создаете свои группы и их пользователей, это не так уж плохо.