Требования к учетной записи службы Windows?

Question

У меня есть служба Windows, для которой требуется возможность запрашивать AD, а также открывать порт TCP.

Раньше у меня была собственная учетная запись домена, настроенная в качестве локального администратора насервер.Позже ИТ-отдел потребовал, чтобы он работал как собственная учетная запись (имеет смысл), и мы попытались продублировать настройку учетной записи.

При переконфигурировании службы для запуска в качестве новой созданной учетной записи она не запускается.Нет исключений, нет ошибок в журналах, ничего.Он просто отказывается запускаться.

Каков наилучший способ отладки этого?Мы пытаемся воспроизвести проблему локально, где мы можем выполнять отладку в режиме реального времени.

Какие-либо особые требования или разрешения, которые необходимы учетной записи на сервере?

Answer 1

Ответ на этот вопрос, я думаю, уже здесь на SO .

Однако вот несколько мудрых советов от Microsoft:

Запустите службу в определенной безопасности контекст. Чтобы защитить вашу систему от атак запустить сервис с минимальные права пользователя. Если вам требуется больше прав пользователя, чем те, которые предоставлены минимальные учетные записи пользователей, не запускайте службу как пользователь с административные полномочия.

Кроме того, не меняйте безопасность политика для повышения прав пользователей встроенные входы в систему (SYSTEM, Anonymous Вход в систему, локальный сервис и сеть Обслуживание). Вместо этого создайте пользовательский учетной записи, а затем предоставить учетную запись права пользователя, которые могут быть предоставлены вашим сервисом требуют. Если вам нужна сеть учетные данные, используйте учетную запись домена. Если вам не нужна сеть учетные данные, используйте локальную учетную запись. Вы может потратить больше времени на создание пользовательских учетная запись с ограниченными правами пользователя, но это более безопасно, чем если бы вы либо запустить сервис с большим количеством пользователей права или когда вы добавляете права пользователя к учетная запись, которая включена в операционная система.