Como conceder privilégios de sistema local ao usuário do domínio no Windows 2012

2

Eu tenho um serviço que precisa ser executado como sistema local para funcionar corretamente. Se eu o executar como um usuário de domínio ou até mesmo um administrador local, ele não funcionará corretamente. No entanto, eu preciso de acesso à rede para recursos e isso só acontece quando eu o executo como um usuário de domínio. Eu tentei conceder acesso aos recursos de rede para machinename$ sem sucesso. É possível conceder os mesmos privilégios que o sistema local a um usuário de domínio? Se sim como?

EDITAR

Para ser mais preciso, posso executar o serviço como um usuário comum. No entanto, o programa, dependendo do serviço, não é capaz de carregar todos os processos necessários, enquanto que, quando eu, como sistema local, posso. No entanto, como sistema local, o programa não tem acesso a compartilhamentos na rede.

    
por idipous 07.04.2013 / 19:44

7 respostas

2

A pergunta correta seria: por que exatamente o seu serviço precisa ser executado como sistema?

Basicamente, a menos que você crie algum tipo de proxy RPC ou altere o programa para representar um usuário de domínio, simplesmente não poderá conceder acesso a recursos de domínio para a conta do sistema.

Portanto, tente o seguinte: baixe e execute o monitor de processos ( procmon ), defina para registrar a atividade de todos os processos envolvidos e executá-los como usuário local. Depois disso, verifique o log de qualquer resultado de acesso negado (código de erro 5) e volte com um resultado. Nesse momento, podemos começar a pensar em como corrigi-lo por meio de alterações na ACL ou contornar isso.

    
por 10.04.2013 / 10:03
0

Você configurou 'fazer logon como serviço' e depois adicioná-los ao grupo de que precisam?  Eu uso isso o tempo todo para serviços em servidores.

link

    
por 08.04.2013 / 03:15
0

Eu tentaria fazer logon como usuário de domínio e executar o serviço como sistema local. Caso contrário, você pode tentar fazer logon como um usuário local e conceder acesso a seus recursos de rede.

    
por 10.04.2013 / 09:23
0

Eu concedo os direitos act as part of the operating system e Log on as a service a esse usuário de domínio.

Para isso, abra o MMC e adicione o snap-in de diretiva de grupo / computador local, expanda a diretiva local do computador, configuração do computador, Configurações do Windows, Configurações de Segurança, Diretiva Local, Atribuição de Direitos do Usuário e edite a configuração Aja como parte do sistema operacional e adicione seu usuário de domínio à lista de contas com esse direito. Repita isso para Fazer logon como um serviço , que deve estar na mesma lista de direitos do usuário.

O primeiro privilégio, pelo menos, é um privilégio perigoso para ser atribuído, então eu não faria isso de ânimo leve, mas acho que vai funcionar.

    
por 10.04.2013 / 09:40
0

O Speak to no entanto forneceu o serviço para você. Como Stephanie já apontou, o serviço provavelmente não deveria precisar ser executado como sistema local. Você não detalha o que é o serviço ou o que ele faz, mas esse é provavelmente o problema subjacente. Consertar isso é a coisa certa a se fazer, enfraquecer a segurança para fazê-lo funcionar, é a pior coisa que você pode fazer, e pelo amor dos gatinhos, por favor não execute com privilégios de administrador de domínio (que eu vejo que você já tente de seus comentários), e se o serviço for facilmente explorável? Você pode ter concedido a alguém acesso total a todo o seu AD, o que provavelmente será um dia ruim para você.

Assumo que os recursos de rede são um compartilhamento de arquivos? Desde que o computador seja um membro do domínio, conceder acesso à conta do computador ao recurso deve funcionar bem se o serviço for executado como sistema local, mas você precisa garantir que as permissões de compartilhamento e NTFS sejam consideradas. Você pode testar se isso funciona iniciando um prompt de comando em execução como sistema local com psexec e, em seguida, tente mapear uma unidade usando net use. Se você configurou corretamente, isso deve funcionar.

    
por 12.04.2013 / 00:52
0

I tried granting access to the network resources to machinename$ to no avail.

Adicione a conta do computador ao grupo "Usuários do domínio" . Você pode fazê-lo a partir do console do Active Directory, apenas certifique-se de procurar computadores quando adicionar membros de grupos, pois por padrão os computadores não aparecem nos resultados da pesquisa ao adicionar membros do grupo.

Dessa forma, o usuário do SISTEMA LOCAL no computador terá acesso aos recursos do domínio.

    
por 13.04.2013 / 00:06
0

Obtenha o monitor de processos ( link ). Mantenha-o em execução enquanto o serviço é executado incorretamente. Veja se alguma sinalização vermelha está levantada ou se há algum arquivo ou erros de permissão de registro. Isso deve lhe dar uma ideia se há algum processo local que não pode ser executado.

Também gostaria de contatar o suporte para o software, eles podem ser capazes de orientá-lo através de uma solução ... Embora eu possa acreditar se eles dissessem: Tudo o que precisamos é do sistema local, por que você quer mais?

Dito isso, se você já tentou usar o administrador local, com o usuário configurado para fazer logon como serviço e agir como parte do sistema operacional, isso deve eliminar quaisquer problemas locais. Você já tentou configurá-lo para um administrador de domínio, só para ver? Se estiver sendo executado como um usuário, talvez não exija que a conta do computador tenha acesso, mas definitivamente exigiria que o usuário esteja executando e tenha privilégios. Tente adicionar o usuário às outras caixas para as quais precisa de acesso à rede com o mesmo conjunto de configurações da política de segurança local.

    
por 15.04.2013 / 16:54

Tags