O serviço que estou implementando será executado em um controlador de domínio , portanto, gostaria que ele tivesse privilégios mínimos. Idealmente, seria simplesmente executado como Serviço Local. No entanto, ele precisa ser capaz de:
Adicionar Serviço Local a esses grupos obviamente não é uma boa abordagem. Executar o serviço como a Conta de Serviço Virtual gerada para ele permitirá que ele acesse a rede com a identidade do computador, o que também é indesejável. Então, eu gostaria de executá-lo como serviço local com SID diferente de zero , passando assim para os privilégios dados ao VSA.
Estou tendo problemas para adicionar o VSA do serviço aos grupos mencionados acima. Eu suspeito que seja porque o VSA é local (e existe somente no controlador de domínio), enquanto os grupos são grupos de domínio . É possível?
As Contas de Serviço Gerenciadas do Grupo podem provar ser úteis (substituindo o VSA), caso precisem ser criadas manualmente.
Qual é a abordagem correta para configurar um serviço para ser executado somente com as permissões especificadas, enquanto a implantação não tem pré-requisitos (sem criação de GMSA)?
Respostas específicas para grupos especificados também são bem-vindas.