вздох
У нас есть приложение, которое работает как служба как СИСТЕМА на сервере 2K8R2, но в учетной записи, используемой для его запуска, должен быть установлен принтер в профиле, чтобы определенные функции работали в соответствии с требованиями поставщика.
Поставщик говорит, что если он не работает как СИСТЕМА, то учетная запись, на которой запущена служба, должна быть локальным администратором машины. Честно говоря, мне это кажется дерьмовым. Я полагаю, что установить принтер как систему достаточно просто, получив интерактивную командную строку, используя старую at
Уловка, но есть ли какие-нибудь другие последствия, о которых кто-нибудь знает, если бы я установил принтер в качестве учетной записи SYSTEM на 2008R2?
Примечание. Написав этот ответ, я понял, что не совсем ответил на ваш исходный вопрос. Но если вы последуете моему совету, вам не понадобится этот ответ.
Большинство поставщиков программного обеспечения, которые заявляют, что их программное обеспечение должно запускаться от имени локального администратора (службы или нет), в основном говорят вам, что их разработчики слишком ленивы или некомпетентны, чтобы точно задокументировать, какие разрешения нужны их приложению для работы с наименьшими привилегиями. Если у вас есть время и терпение, вы можете занять жесткую позицию и отказаться от использования их продукта, пока они не исправят его и не предоставят надлежащую документацию с минимальными привилегиями. Если приложение более важно для вашего бизнеса, чем ваш бизнес для поставщика, вы, вероятно, застряли в соответствии со всеми их нелепыми требованиями.
Что касается работы от имени СИСТЕМЫ вместо локального администратора. На мой взгляд, работа как SYSTEM менее безопасна, чем учетная запись локального администратора. У него есть базовый доступ для чтения к вашему домену и другие разрешения, предоставленные учетной записи компьютера. Аудит сложнее. Он может нанести такой же вред локальной системе, как и локальный администратор.
Я бы определенно использовал специально определенную учетную запись службы для этого приложения. Независимо от того, используете ли вы локальную учетную запись или учетную запись домена, решать вам. И то и другое поможет вам лучше одитировать. У локальной учетной записи не будет доступа на чтение к домену. Учетной записью домена проще управлять централизованно. Оба могут быть добавлены и удалены из группы локальных администраторов с помощью групповой политики. И очевидно, что добавить принтер в реальную учетную запись проще, чем в учетную запись SYSTEM.
Я закончил тем, что экспортировал записи реестра для принтеров из реестра и импортировал их в HKCU / .Default, и все сработало нормально. У SYSTEM был доступ к принтеру, и приложение работало, как ожидалось.