Existem diferentes tipos de início de sessão . Especificar uma determinada conta ou grupo como tendo direitos "Logon as a Service" permite que essa conta ou grupo faça logon com esse tipo de logon específico. "Logon as a Service" não concede nenhum direito adicional à conta além da capacidade de fazer logon com o tipo "LOGON32_LOGON_SERVICE".
As associações de grupo, como a participação no grupo "Usuários", orientam a capacidade de ler arquivos do sistema de arquivos. Usando o comando "WHOAMI / ALL" enquanto estiver conectado como usuário do serviço, você poderá mostrar todos os membros e privilégios de grupo concedidos a uma determinada conta de usuário (incluindo o SeLogonServiceLogonRight-- o privilégio atrás do direito "Logon as a Service"). A ferramenta "Process Explorer" do SysInternals pode fazer isso para executar processos (enumerando seu token de segurança).
No que diz respeito à auditoria do acesso ao sistema de arquivos, você terá que escrever algo ou encontrar uma ferramenta de terceiros para enumerar todos os arquivos e diretórios que deseja testar. Não existe uma "central de compensação" central para as ACLs do sistema de arquivos. Eles estão espalhados por todo o sistema de arquivos. Se você quiser saber "para quais arquivos / pastas o usuário xxx tem acesso", você terá que testar todos os arquivos e pastas para ver.