windows – 为什么用户可以自己注册“作为服务登录”权限？

This article描述了授予Active Directory用户“作为服务登录”权限时应该执行的(相对费力的)步骤.但是,如果我安装服务并手动指定我的AD帐户的登录凭据(服务属性|登录),Windows会告诉我’帐户[myaccount]已被授予“作为服务登录”权限.然后,我可以在我的帐户凭据下运行该服务.但是,在随后重新安装服务(或有时重启)时,由于登录失败,该服务再次无法启动…直到我进入并再次手动输入我的凭据,并且该帐户被神奇地“授予”登录为服务权利.在此之后,该服务可以再次在我的帐户凭据下启动.

这里发生了什么？为什么我显然有权在飞行中授予自己这项权利？如果我可以即时授予它,为什么它不会被授予,我必须继续重新授予它？请记住,我不是要问如何通过Active Directory授予此人权利 – 我说的是,当您在“登录”窗口中输入凭据时,Windows右键似乎是“自动授予”这一权利.

您应该更改策略的范围/过滤,以便此计算机免除该策略或使用该策略授予必要的权限.

来自评论的信息：
要检查组策略是否正在应用该设置,请使用生成的策略向导集(rsop.msc)
如果要将此设置应用于多台计算机,或者无法删除定义此设置的现有策略,请使用组策略对其进行定义.有一个technet article解释了如何做到这一点.
要检查当前的本地安全设置,请使用secpol.msc – 展开“本地策略”,然后选择“用户权限分配”.这将显示当前应用的设置.如果您有足够的访问权限且没有有效的组策略,那么这将允许您编辑当前策略.如果添加/删除按钮被禁用,则策略当前定义此设置.

如果没有有效的策略,那么允许窗口授予用户权利是完全正常的,并且只是由windows提供的便利功能.正如Jez所发现的那样,如果一项政策生效,那么它就毫无意义.政策通常会每隔几个小时重新应用一次,并会不断更新您已设置的任何更改. (虽然服务将继续工作,直到它因某些其他原因停止). Jez提到服务是由安装时生成的LUID标识的.我不知道是否是这种情况,但是“作为服务登录”用户权限不限于任何特定服务.因此,您想要登录的服务不会有任何区别.让Windows为您分配权利的一个危险是您可能忘记删除以前的帐户并最终获得一个巨大的帐户列表,这些帐户将登录作为服务权限而不需要它.

因此,为了更直接地回答Jez的评论,如果有一个有效的策略,找不到绕过已禁用的secpol.msc UI的方法.禁用UI会向您发出警告,表示您管理的所有更改都不会保留.在这种情况下,编辑策略是前进的方法,要么授予权限,要么停止进行设置,以便可以在本地分配.

编辑：
您似乎认为授予域用户此特权与将其授予本地用户有所不同.事实并非如此.如果有问题的PC /服务器没有应用任何组策略,则打开secpol.msc,转到相关权限,双击,单击“添加”,然后选择所需的帐户.我刚刚在一个已加入域的笔记本电脑上尝试了这个,并且添加用户对话框实际默认为域.如果我想选择一个本地小组,那么我必须改变位置.

如果双击该权限,我假设您看到列表和添加/删除按钮,但按钮是可扩展的,因此您无法编辑列表.这不能是因为您添加了域帐户,因为您尚未选择是否添加本地帐户或域帐户.

我在工作中遇到了这个问题,我正在安装的服务只能在一台PC上进行,所以改变策略不是一种选择.我们将有问题的PC移动到没有应用策略的OU,然后我可以毫无问题地授予该权限.

您可以通过循环授予权限的原因是策略只是禁用UI,它实际上不会更改您拥有的权限.然而,它会定期重新应用,这就是设置被覆盖的原因.

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!