Точная степень / значение разрешения "Вход в систему как сервис" (W2K, W2K3)?
Допустим, у вас есть домен активного каталога, и вы хотите, чтобы учетная запись службы запускала определенную службу Windows на нескольких машинах в домене. Учетная запись службы должна быть одной и той же учетной записью на всех серверах, поскольку ей необходимы определенные разрешения (для доступа к файлам) на всех серверах.
Минимальное разрешение, которое необходимо для того, чтобы этот пользователь мог запускать службу, - это разрешение "Вход в систему как служба" - фактически, как только вы переходите на панель "Службы" и пытаетесь настроить службу с пользователем домена (независимо от того, из того, какие права они уже имеют, я полагаю) они автоматически получают разрешение "Вход в систему как сервис".
Я пытаюсь понять, какие другие права / разрешения это автоматически подразумевает;
Я обнаружил, что служба, работающая под учетной записью домена с правами "Вход в систему как служба" и без каких-либо других (по крайней мере, преднамеренных) прав, все еще может читать файлы в локальной файловой системе. Означает ли это, что у меня где-то есть наследование разрешений, о котором я не знаю, или это означает, что "Вход в систему как служба" также предоставляет некоторые права доступа к файлам или другим правам на сервере?
Я предполагаю другой способ задать вопрос - есть ли утилита, которая может сообщить вам, для данного объекта / пользователя / учетной записи, какие именно права она имеет и почему / откуда?
2 ответа
Существуют разные типы входа. Указание данной учетной записи или группы с правами "Вход в качестве службы" позволяет этой учетной записи или группе входить в систему с этим конкретным типом входа. "Вход в систему как услуга" не предоставляет никаких дополнительных прав учетной записи, кроме возможности входа в систему с типом "LOGON32_LOGON_SERVICE".
Членство в группах, например членство в группе "Пользователи", обеспечивает возможность чтения файлов из файловой системы. Использование команды "WHOAMI /ALL" при входе в систему в качестве пользователя службы может показать вам все членство в группах и привилегии, предоставленные данной учетной записи пользователя (включая SeLogonServiceLogonRight- привилегия за правом "Вход в систему как служба"). Инструмент SysInternals "Process Explorer" может сделать это для запуска процессов (путем перечисления их токена безопасности).
Что касается аудита доступа к файловой системе, вам придется что-то написать или найти сторонний инструмент для перечисления всех файлов и каталогов, которые вы хотите протестировать. Нет центрального "центра обмена информацией" для ACL файловой системы. Они разбросаны по всей файловой системе. Если вы хотите узнать, "к каким файлам / папкам имеет доступ пользователь xxx", вам нужно проверить все файлы и папки, чтобы увидеть.
Инструмент SysInternals ' procexp' даст вам это. Запустите инструмент, найдите процесс, запущенный сервисом, щелкните его правой кнопкой мыши и перейдите в свойства. На вкладке "Безопасность" он предоставит вам список полномочий, которыми владеет этот процесс, а также сообщит вам, как он вошел в систему. Это должно помочь вам выследить среду доступа для процесса обслуживания.