Estou tentando fazer com que um instalador do NSIS instale um serviço personalizado como parte de uma instalação. Seria bom executar o serviço com uma das típicas contas de serviço virtual estilo 'NT Service \ xyz' disponíveis no Win 7 e mais recentes. Como você deve ter adivinhado no Win7, esta é uma implantação em uma máquina cliente, não em um servidor.
Funciona muito bem em minha máquina de testes, mas tenho algumas dúvidas sobre a abordagem correta das permissões para esse usuário do serviço, especialmente quando os GPOs de domínio podem estar em vigor.
No caso simples, o serviço obtém suas permissões de 'Efetuar logon como um serviço' por meio da associação NT SERVICE \ ALL SERVICES, mas tenho visto casos em que isso não é o caso e esse grupo tem as permissões explicitamente revogadas por meio de GPO.
Então a questão é: Um instalador de uma máquina cliente deve criar / configurar explicitamente uma ACL para conceder 'Logon como um serviço' ao usuário de serviço virtual recém-criado, ou deve confiar / confiar no grupo padrão 'NT Service \ All Services' para conceder essas permissões ?
Isso é muito antigo aqui, mas desde que eu estou aqui. Realmente não importa se seus aplicativos modificam as configurações de segurança locais neste contexto. Se o GPO estiver controlando o acesso ao que pode ser executado como um serviço, ele substituirá suas alterações. Isso não é uma coisa ruim - significa apenas que você precisa documentar seus requisitos e obter uma exclusão no GPO ou criar um GPO diferente que inclua seus requisitos.