What does service account really mean and what impact on the service itself it has?
É como o serviço "efetua login" no sistema operacional.
Nos serviços, ele existe principalmente para fins de segurança, mas ainda significa o mesmo que contas de usuários comuns significam para programas: ele define o que acesso ao sistema que você terá.
Por exemplo, a pasta C:\Users\Ringger81 tem "listas de controle de acesso", que dizem que o usuário Ringger81 pode ler & altere esses arquivos, mas outros usuários não podem. Portanto, se você fizer login no Windows como Ringger81 , terá acesso a esses arquivos, mas outras contas (por exemplo, família) não terão nenhum.
Se um serviço estiver sendo executado como usuário Ringger81 , isso funciona exatamente da mesma maneira.
(Não apenas arquivos possuem ACLs, mas também processos, dispositivos, chaves de registro, impressoras, ... muitos outros tipos de objetos. É por isso que o Windows possui Usuários e Administradores, bem como o "Deseja permitir que este aplicativo fazer alterações "prompt.)
What is the sytntax of field "This account"? For g.e. what does NT AUTHORITY\LocalService means?
Em todas as séries do Windows NT, as contas de usuários são nomeadas como <DOMAIN>\<username> . O domínio descreve de onde vem a conta e pode ser:
- Em PCs autônomos (grupo de trabalho), é o nome do computador, pois cada computador possui suas próprias contas de usuário.
- Em computadores que fazem parte do domínio (Active Directory), as contas locais são as mesmas acima, mas as contas domínio são prefixadas com o "nome de domínio curto" do AD . Portanto, o mesmo computador pode ter
JOES-PC\Joe(local) eMYCOMPANY\Joe(do AD). - O domínio especial
NT AUTHORITYé para vários criados nas contas que acompanham todas as instalações do Windows. Por exemplo,NT AUTHORITY\SYSTEMé a conta com mais privilégios (mesmo acima de Administradores) e é usada pelos principais serviços do Windows.NT AUTHORITY\LocalServiceé semelhante, mas ligeiramente restrito. - O atalho
.(por exemplo,.\Joe) significa uma conta local no computador this ; o ponto é substituído pelo nome do computador.
Can You provide an example case for setting Log on as propery to specified user account (for e.g. "Mark" user) instead of default Local system account?
Permitir que os serviços sejam executados como "Sistema Local" pode ser arriscado. Eles têm acesso irrestrito ao computador (mais uma vez, mais do que os Administradores).
Digamos que você instale o servidor web Apache (via XAMPP ou qualquer outro) e configure-o para hospedar um site pequeno. No passado, o próprio Apache e as plataformas de sites populares (como o Wordpress) tinham muitos bugs permitindo que um visitante modificasse os arquivos que não deviam, ou até induziam o site a executar programas / comandos no servidor.
Se o Apache estivesse rodando em sua própria conta dedicada, o dano seria limitado ao que sua conta pode fazer: um hacker poderia, talvez, excluir os arquivos do site ou desabilitar o Apache completamente, mas nada mais. Se eles instalassem malware, seria fácil de limpar.
Mas se o Apache estivesse rodando como "Sistema Local", um hacker que encontrasse uma falha de segurança poderia fazer qualquer coisa para o servidor, por exemplo, roube seus arquivos pessoais, bloqueie-o completamente ou até mesmo exclua todo o conteúdo do disco.
Observe que o exemplo acima possui uma conta dedicada , pois oferece mais proteção. Permitir que os serviços sejam executados em uma conta "humana" não é muito útil.