Extensão exata / significado da permissão “Fazer logon como um serviço” (W2K, W2K3)?

3

Digamos que você tenha um domínio de diretório ativo e deseje que uma conta de serviço execute um determinado serviço do Windows em várias máquinas no domínio. A conta de serviço precisa ser a mesma conta em todos os servidores porque precisa de certas permissões (de acesso a arquivos) em todos os servidores.

A permissão mínima necessária para que esse usuário possa executar um serviço é a permissão "Efetuar logon como um serviço". Na verdade, assim que você acessa o painel Serviços e tenta configurar um serviço com um domínio usuário (independentemente de quais direitos eles já possuem, acredito) eles automaticamente recebem a permissão "Fazer logon como um serviço".

O que estou tentando entender é o que outros direitos / permissões implicam automaticamente;

Estou descobrindo que um serviço em execução em uma conta de domínio com direitos "Fazer logon como um serviço" e nenhum outro direito (intencional, pelo menos) ainda é capaz de ler arquivos no sistema de arquivos local. Isso significa que eu tenho uma herança de permissão em algum lugar que eu não sei, ou isso significa que "Log on como um serviço" também concede algum acesso a arquivos ou outros direitos no servidor?

Eu acho que outra maneira de fazer a pergunta - existe um utilitário que pode lhe dizer, para um determinado objeto / usuário / conta, exatamente quais direitos ele tem e por que / de onde?

    
por Tao 23.06.2010 / 20:01

2 respostas

2

Existem diferentes tipos de início de sessão . Especificar uma determinada conta ou grupo como tendo direitos "Logon as a Service" permite que essa conta ou grupo faça logon com esse tipo de logon específico. "Logon as a Service" não concede nenhum direito adicional à conta além da capacidade de fazer logon com o tipo "LOGON32_LOGON_SERVICE".

As associações de grupo, como a participação no grupo "Usuários", orientam a capacidade de ler arquivos do sistema de arquivos. Usando o comando "WHOAMI / ALL" enquanto estiver conectado como usuário do serviço, você poderá mostrar todos os membros e privilégios de grupo concedidos a uma determinada conta de usuário (incluindo o SeLogonServiceLogonRight-- o privilégio atrás do direito "Logon as a Service"). A ferramenta "Process Explorer" do SysInternals pode fazer isso para executar processos (enumerando seu token de segurança).

No que diz respeito à auditoria do acesso ao sistema de arquivos, você terá que escrever algo ou encontrar uma ferramenta de terceiros para enumerar todos os arquivos e diretórios que deseja testar. Não existe uma "central de compensação" central para as ACLs do sistema de arquivos. Eles estão espalhados por todo o sistema de arquivos. Se você quiser saber "para quais arquivos / pastas o usuário xxx tem acesso", você terá que testar todos os arquivos e pastas para ver.

    
por 23.06.2010 / 20:21
1

A ferramenta SysInternals ' procexp ' lhe dará isso. Execute a ferramenta, procure pelo processo iniciado pelo serviço, clique com o botão direito nele e vá para propriedades. Na aba 'Segurança', você verá uma lista de autoridades mantidas por esse processo, além de lhe dizer em quem está logado. Isso deve ajudá-lo a perseguir o ambiente de acesso para o processo de serviço.

    
por 23.06.2010 / 20:19