Я пытаюсь настроить установщик NSIS для установки специальной службы в рамках установки. Было бы неплохо запустить службу с одной из тех типичных учетных записей виртуальных служб в стиле NT Service \ xyz, доступных в Win 7 и новее. Как вы могли догадаться по Win7, это развертывание на клиентской машине, а не на сервере.
Он отлично работает на моей тестовой машине, но у меня есть некоторые сомнения относительно правильного подхода к разрешениям для этого пользователя службы, особенно когда могут действовать доменные GPO.
В простом случае служба получает свои разрешения «Вход в качестве службы» через членство NT SERVICE \ ALL SERVICES, но я видел случаи, когда это не так, и эта группа имеет разрешения, явно отмененные через GPO.
Итак, возникает вопрос: должен ли установщик для клиентской машины явно создавать / настраивать ACL для предоставления «Вход в качестве службы» вновь созданному пользователю виртуальной службы, или он должен надеяться / полагаться на значение по умолчанию «NT Service \ All Services» группа, чтобы предоставить это разрешение?
Это довольно старое здесь, но раз уж я здесь. На самом деле не имеет значения, изменяют ли ваши приложения локальные параметры безопасности в этом контексте. Если GPO контролирует доступ к тому, что может работать как служба, он перезапишет ваши изменения. Это неплохо - это просто означает, что вам нужно задокументировать свои требования и либо получить исключение из объекта групповой политики, либо создать другой объект групповой политики, включающий ваши требования.