Допустим, у вас есть домен активного каталога, и вы хотите, чтобы учетная запись службы запускала определенную службу Windows на нескольких машинах в домене. Учетная запись службы должна быть одной и той же учетной записью на всех серверах, поскольку для нее требуются определенные разрешения (доступ к файлам) на всех серверах.
Минимальное разрешение, необходимое для того, чтобы этот пользователь мог запускать службу, - это разрешение «Войти в качестве службы» - фактически, как только вы перейдете на панель «Службы» и попытаетесь настроить службу с пользователем домена (независимо от какие права у них уже есть, я полагаю) им автоматически назначается разрешение «Вход в качестве службы».
Я пытаюсь понять, какие другие права / разрешения это автоматически подразумевает;
Я обнаружил, что служба, работающая под учетной записью домена с правами «Вход в качестве службы» и не имеющими других (по крайней мере, преднамеренных) прав, по-прежнему может читать файлы в локальной файловой системе. Означает ли это, что у меня где-то есть наследование разрешений, о котором я не знаю, или это означает, что «Вход в качестве службы» также предоставляет некоторый доступ к файлам или другие права на сервере?
Думаю, еще один способ задать вопрос - есть ли утилита, которая может сказать вам для данного объекта / пользователя / учетной записи, какие именно права у него есть и почему / откуда?
Они разные типы входа в систему. Указание для данной учетной записи или группы прав «Вход в качестве службы» позволяет этой учетной записи или группе выполнять вход с этим конкретным типом входа. «Вход в качестве службы» не предоставляет никаких дополнительных прав для учетной записи, кроме возможности входа в систему с типом «LOGON32_LOGON_SERVICE».
Членство в группах, такое как членство в группе «Пользователи», определяет возможность чтения файлов из файловой системы. Использование команды «WHOAMI / ALL» при входе в систему в качестве пользователя службы может показать вам все членство в группах и привилегии, предоставленные данной учетной записи пользователя (включая SeLogonServiceLogonRight - привилегия, стоящая за правом «Вход в систему в качестве службы»). Инструмент SysInternals «Process Explorer» может делать это для запущенных процессов (путем перечисления их токенов безопасности).
Что касается аудита доступа к файловой системе, вам придется что-то написать или найти сторонний инструмент для перечисления всех файлов и каталогов, которые вы хотите проверить. Для списков ACL файловой системы не существует центрального «центра обмена информацией». Они разбросаны по всей файловой системе. Если вы хотите знать, «к каким файлам / папкам xxx пользователь имеет доступ», вам нужно будет проверить все файлы и папки, чтобы увидеть их.
Инструмент SysInternals 'процедура'даст вам это. Запустите инструмент, найдите процесс, запущенный службой, щелкните его правой кнопкой мыши и перейдите в свойства. На вкладке «Безопасность» он предоставит вам список полномочий, которыми владеет этот процесс, а также сообщит, под кем он вошел в систему. Это должно помочь вам отследить среду доступа для процесса обслуживания.