我看過許多有關使用網域服務帳戶運行應用程式的最佳實務文章。我在實驗室中嘗試設定 GPO 以允許特定網域使用者作為服務登入
但是,當我安裝新程式(例如監控工具代理)時,它仍然能夠透過本機系統運行。重新啟動後,應用程式服務仍會作為本機系統運作。
據我所知,本地系統具有非常高的權限,每個人都說除非需要,否則應該避免使用它。這意味著當我安裝時,我必須手動將服務登入作為服務變更為服務帳戶,對嗎?
我可以透過設定 GPO 或註冊表來阻止服務與本機系統一起運作嗎?
或者我只需在某些應用程式(例如 SQL 服務、Web 服務和應用程式服務)上使用服務帳戶?
如果我的問題不清楚,我很抱歉,建議或任何建議都很感激
答案1
有很多系統服務需要作為LocalSystem運作;如果您實際上設法在全域範圍內阻止所有服務運行,這將導致您的系統徹底崩潰。
我假設你想阻止應用作為本地系統運作的服務運作;沒有辦法強制執行這一點。
每個服務使用的使用者帳戶特定於其配置;這是在安裝服務時配置的,通常由安裝程式進行;這能稍後由管理員更改,但您需要確保您選擇的使用者帳戶具有所有必需的權限(資料夾存取權限、註冊表存取權限、系統權限等);此外,更改 Windows 服務登入屬性通常還不夠:您必須實際配置應用使用新的服務帳戶(請參閱 SQL Server 作為範例)。
大多數安裝服務的安裝程式都會要求使用服務帳戶;如果他們不這樣做而只是使用 LocalSystem,那麼他們很可能確實需要它(或者開發人員可能很懶);您需要諮詢開發商/供應商是否可以更改以及如何更改。
TL;DR:不,沒有辦法強制執行「所有服務都應使用網域帳戶運行」的全球標準;這必須針對每個應用程式單獨管理。