도메인 서비스 계정으로 애플리케이션을 실행하는 방법에 대한 모범 사례 기사를 많이 보았습니다. 특정 도메인 사용자가 서비스로 로그온할 수 있도록 GPO를 설정하여 연구실에서 시도해 보았습니다.
그러나 새 프로그램(예: 모니터링 도구 에이전트)을 설치해도 로컬 시스템에서 계속 실행할 수 있습니다. 그리고 다시 시작한 후에도 응용 프로그램 서비스는 여전히 로컬 시스템으로 실행되고 있습니다.
내가 아는 것처럼 로컬 시스템은 매우 높은 권한을 갖고 있으며 모두가 꼭 필요한 경우가 아니면 사용하지 말아야 한다고 말했습니다. 이는 설치 시 서비스 로그온을 서비스 계정으로 수동으로 변경해야 한다는 뜻인가요?
GPO 또는 레지스트리를 설정하여 서비스가 로컬 시스템에서 실행되는 것을 방지할 수 있나요?
아니면 SQL 서비스, 웹 서비스, 애플리케이션 서비스와 같은 일부 애플리케이션에서만 서비스 계정을 사용해야 합니까?
내 질문이 명확하지 않은 경우 사과드립니다. 제안이나 조언에 감사드립니다.
답변1
LocalSystem으로 실행해야 하는 시스템 서비스가 많이 있습니다. 실제로 모든 서비스가 실행되는 것을 전역적으로 방지할 수 있다면 시스템이 완전히 붕괴될 수 있습니다.
예방하고 싶으신 것 같아요애플리케이션LocalSystem으로 실행되는 서비스로 실행됩니다. 이를 시행할 방법이 없습니다.
각 서비스에서 사용하는 사용자 계정은 해당 구성에 따라 다릅니다. 이는 일반적으로 설치 프로그램을 통해 서비스를 설치할 때 구성됩니다. 이것~할 수 있다나중에 관리자가 변경할 수 있지만 선택한 사용자 계정에 필요한 모든 권한(폴더 액세스, 레지스트리 액세스, 시스템 권한 등)이 있는지 확인해야 합니다. 또한 일반적으로 Windows 서비스 로그온 속성을 변경하는 것만으로는 충분하지 않습니다.애플리케이션새 서비스 계정을 사용합니다(예: SQL Server 참조).
서비스를 설치하는 대부분의 설치 프로그램은 사용할 서비스 계정을 요청합니다. 그렇지 않고 LocalSystem만 사용한다면 실제로 필요할 가능성이 높습니다(또는 개발자가 게으른 것일 수도 있습니다). 이를 변경할 수 있는지, 어떻게 변경할 수 있는지 개발자/공급업체에 확인해야 합니다.
핵심요약: 아니요, "모든 서비스는 도메인 계정을 사용하여 실행되어야 합니다"라는 글로벌 표준을 시행할 수 있는 방법은 없습니다. 이는 각 애플리케이션에 대해 개별적으로 관리되어야 합니다.