Isso depende de como o serviço está configurado, mais especificamente no Tipo de SID de Serviço.
Se o Tipo de SID de Serviço for "nenhum", o serviço obterá um token de SYSTEM simples, o mesmo usado por outros processos do sistema, como services.exe
e winlogon.exe
e assim por diante. Esta é a situação do legado; de volta ao Windows XP, todos os serviços tinham esse tipo de token, a menos que estivessem configurados para serem executados como uma conta de usuário específica.
Se o Tipo de SID de serviço for "restrito" ou "irrestrito", um token mais específico será gerado para o serviço, incluindo um identificador de segurança especial específico para esse serviço, por exemplo, NT SERVICE\Schedule
para o Agendador de tarefas. Isso ajuda a fornecer alguma granularidade entre os diferentes serviços. No Windows 7 e posterior, a maioria dos serviços integrados é "irrestrita". O serviço de diretiva de grupo é uma exceção; isso foi provavelmente um descuido da parte da Microsoft. (Eu teria pensado que era uma escolha deliberada para compatibilidade com versões anteriores, mas isso é prejudicado pelo fato de que, no Windows 7, ele sempre é executado em um processo de serviço compartilhado.)
Como você já observou, além de obter o identificador NT SERVICE
, o token recebe vários outros identificadores. Isso não está documentado, tanto quanto eu posso ver, mas também não é especialmente surpreendente; Isso torna o token de serviço mais parecido com um token interativo, o que pode ser útil. (É particularmente importante que este seja o caso de tokens restritos, que de outra forma teriam muito pouco acesso.)
Conforme descrito na resposta automática, quando vários serviços são compartilhados por um único processo, o token de processo deve conter todos os SID que qualquer um dos serviços precisa. Portanto, se o Serviço de Diretiva de Grupo (ou qualquer outro serviço com um tipo SID de "nenhum") estiver compartilhando um processo com um serviço "irrestrito", ele obterá exatamente o mesmo token como se fosse "irrestrito".
Como as versões anteriores do Windows executavam o Serviço de Diretiva de Grupo como "irrestrito" e, mesmo que o Windows 10 o fizesse em máquinas com memória muito limitada, ele provavelmente não seria muito perigoso para reconfigurar o SID Digite para o serviço de Diretiva de Grupo se for absolutamente necessário fazê-lo . Eu não recomendo isso a não ser talvez como uma solução de curto prazo, em parte porque ainda há algum risco (particularmente em relação à compatibilidade com versões anteriores), mas principalmente porque toda vez que você atualiza para uma nova versão do Windows 10 é provável que a configuração seja revertido.
Uma solução melhor seria que um script de inicialização executasse uma tarefa agendada ou instalasse e executasse um serviço para executar qualquer trabalho necessário em nome do script de inicialização.