Ich habe viele Best-Practice-Artikel zum Ausführen von Anwendungen mit einem Domänendienstkonto gesehen. Ich habe es in meinen Labors ausprobiert, indem ich GPO so eingerichtet habe, dass sich bestimmte Domänenbenutzer als Dienst anmelden können
Wenn ich jedoch ein neues Programm installiere (z. B. einen Überwachungstool-Agenten), kann es immer noch auf dem lokalen System ausgeführt werden. Und der Anwendungsdienst wird nach dem Neustart immer noch als lokales System ausgeführt.
Soweit ich weiß, verfügt das lokale System über sehr hohe Berechtigungen und alle sagen, man sollte es nur verwenden, wenn es nötig ist. Das heißt, bei der Installation muss ich die Dienstanmeldung von einem Dienstkonto manuell in ein Dienstkonto ändern, richtig?
Kann ich durch Festlegen einer Gruppenrichtlinie oder der Registrierung verhindern, dass der Dienst mit dem lokalen System ausgeführt wird?
Oder muss ich das Dienstkonto nur für einige Anwendungen wie SQL-Dienste, Webdienste und Anwendungsdienste verwenden?
Ich entschuldige mich, wenn meine Fragen nicht klar waren. Für Vorschläge oder Ratschläge bin ich dankbar.
Antwort1
Viele Systemdienste müssen als lokales System ausgeführt werden. Wenn es Ihnen tatsächlich gelänge, die Ausführung aller Dienste als solche global zu verhindern, würde dies zu einem Totalzusammenbruch Ihres Systems führen.
Ich nehme an, Sie wollen verhindern,Anwendungendie als Dienste ausgeführt werden, von der Ausführung als lokales System ab. Es gibt keine Möglichkeit, dies zu erzwingen.
Das von jedem Dienst verwendete Benutzerkonto ist spezifisch für seine Konfiguration. Es wird bei der Installation des Dienstes konfiguriert, normalerweise durch ein Installationsprogramm.dürfenspäter von einem Administrator geändert werden, aber Sie müssen sicherstellen, dass das von Ihnen gewählte Benutzerkonto über alle erforderlichen Berechtigungen verfügt (Ordnerzugriff, Registrierungszugriff, Systemberechtigungen usw.); außerdem reicht es normalerweise nicht aus, die Anmeldeeigenschaften des Windows-Dienstes zu ändern: Sie müssen tatsächlich dieAnwendungum das neue Dienstkonto zu verwenden (siehe SQL Server als Beispiel).
Die meisten Installationsprogramme, die Dienste installieren, fragen nach einem Dienstkonto. Wenn dies nicht der Fall ist und sie einfach LocalSystem verwenden, besteht die Möglichkeit, dass sie es tatsächlich benötigen (oder der Entwickler war vielleicht faul). Sie müssen beim Entwickler/Anbieter nachfragen, ob und wie dies geändert werden kann.
TL;DR: Nein, es gibt keine Möglichkeit, einen globalen Standard wie „alle Dienste sollten unter Verwendung von Domänenkonten ausgeführt werden“ durchzusetzen. Dies muss für jede Anwendung einzeln verwaltet werden.