stop start services permission all windows-services permissions rights

windows services - start - Derechos mínimos necesarios para ejecutar un servicio de Windows como una cuenta de dominio



gpo start stop all services (4)

¿Alguien sabe cuáles serían los derechos mínimos que tendría que otorgar a una cuenta de usuario de dominio para ejecutar un servicio de Windows como ese usuario?

Para simplificar, suponga que el servicio no hace nada más que iniciar, detener y escribir en el registro de eventos "Aplicación", es decir, sin acceso a la red, registros de eventos personalizados, etc.

Sé que podría usar las cuentas integradas de Servicios y Servicios de red, pero es posible que no pueda utilizarlas debido a las políticas de red implementadas.

"BypassTraverseChecking" significa que puede acceder directamente a cualquier subdirectorio de nivel profundo, incluso si no tiene todos los privilegios de acceso intermediario para los directorios intermedios, es decir, todos los directorios que están encima del mismo hasta el nivel raíz.

Dos caminos:

  1. Edite las propiedades del servicio y configure el usuario de Iniciar sesión. El derecho apropiado se asignará automáticamente.

  2. Configúrelo manualmente: vaya a Herramientas administrativas -> Política de seguridad local -> Políticas locales -> Asignación de derechos de usuario. Edite el elemento "Iniciar sesión como servicio" y agregue su usuario de dominio allí.

Gracias por los enlaces, Chris. A menudo me he preguntado sobre los efectos específicos de privilegios como "BypassTraverseChecking", pero nunca me molesté en buscarlos.

Estaba teniendo problemas interesantes para ejecutar un servicio y descubrí que no tenía acceso a sus archivos después de que el administrador había realizado la instalación inicial. Estaba pensando que necesitaba algo además de Iniciar sesión como servicio hasta que encontré el problema del archivo.

1) intercambio de archivos simple deshabilitado. 2) Haber convertido temporalmente mi cuenta de servicio en un administrador. 3) Usó la cuenta del servicio para tomar posesión de los archivos. 4) Eliminar cuenta de servicio del grupo de administradores. 5) Reiniciar.

Durante Take Ownership, era necesario deshabilitar la herencia de permisos desde los directorios principales y aplicar permisos recursivamente en el árbol.

Sin embargo, no fue posible encontrar una opción de " dar propiedad" para evitar que la cuenta de servicio fuera un administrador de forma temporal.

De todos modos, pensé en publicar esto en caso de que alguien más estuviera yendo por el mismo camino en el que estaba buscando problemas de política de seguridad cuando en realidad eran solo derechos del sistema de archivos.

Sé que la cuenta debe tener privilegios de "Iniciar sesión como servicio". Aparte de eso, no estoy seguro. Puede encontrar una referencia rápida a Iniciar sesión como servicio aquí , y aquí hay mucha información de privilegios específicos.