Question

У меня есть издатель NServiceBus 3.0, который работает под учетной записью службы домена. Издатель не имеет внешних зависимостей, и локально единственными зависимостями являются входная очередь и ravendb.

Я предоставил учетной записи службы полный контроль над входной очередью.

Когда я добавляю учетную запись службы в локальную группу администраторов, служба запускается нормально. Если я удаляю служебную учетную запись от локальных администраторов, я получаю сообщение об ошибке в системном журнале при запуске:

The BlahBlahBlah service failed to start due to the following error: 
Access is denied.

Если я посмотрю в журнале безопасности, будут записаны следующие 4 записи:

Запись 1:

A logon was attempted using explicit credentials.

Subject:
    Security ID:        SYSTEM
    Account Name:       MYSERVER$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
    Account Name:       svc_AppPrototype
    Account Domain:     MYDOMAIN
    Logon GUID:     {a224c91b-adce-3a5b-ca32-32265f073d2b}

Target Server:
    Target Server Name: localhost
    Additional Information: localhost

Process Information:
    Process ID:     0x1ec
    Process Name:       C:\Windows\System32\services.exe

Network Information:
    Network Address:    -
    Port:           -

Запись 2:

An account was successfully logged on.

Subject:
    Security ID:        SYSTEM
    Account Name:       MYSERVER$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Logon Type:         5

New Logon:
    Security ID:        MYDOMAIN\svc_AppPrototype
    Account Name:       svc_AppPrototype
    Account Domain:     MYDOMAIN
    Logon ID:       0x9c6bfc2
    Logon GUID:     {a224c91b-adce-3a5b-ca32-32265f073d2b}

Process Information:
    Process ID:     0x1ec
    Process Name:       C:\Windows\System32\services.exe

Network Information:
    Workstation Name:   MYSERVER
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Advapi  
    Authentication Package: Negotiate
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Запись 3:

Special privileges assigned to new logon.

Subject:
    Security ID:        MYDOMAIN\svc_AppPrototype
    Account Name:       svc_AppPrototype
    Account Domain:     MYDOMAIN
    Logon ID:       0x9c6bfc2

Privileges:     SeImpersonatePrivilege

Запись 4:

Учетная запись вышла из системы.

Subject:
    Security ID:        MYDOMAIN\svc_AppPrototype
    Account Name:       svc_AppPrototype
    Account Domain:     MYDOMAIN
    Logon ID:       0x9c6bfc2

Logon Type:         5

Все записи записываются во время запуска службы.

У меня вопрос, какие явные разрешения мне нужно установить для запуска этой службы, не имея учетной записи службы у локальных администраторов?

tom redfern · Answer 1 · 05 января 2013

Это все еще не решено, поэтому нам пришлось предоставить разрешения локальных администраторов для нашей учетной записи службы. К счастью, это было только в нашей среде интеграции, и мы не сталкивались с этой проблемой в производстве.

Разрешения службы Windows

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Разрешения службы Windows

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы