Meu desenvolvedor está me informando que, para executar um serviço com os privilégios reduzidos da conta interna SYSTEM \ LocalService, ele precisa conceder a ele o direito "fazer logon como um serviço".
Como isso pode ser possível? Metade dos serviços na minha máquina Windows 2012 R2 estão sendo executados como LocalService (a outra metade, inexplicavelmente, LocalSystem).
O desenvolvedor me aponta para esta página, onde, na verdade, o direito não está listado lá. link
Alguém pode explicar esse paradoxo para mim?
Você não precisa conceder esse privilégio, pois o LocalService, como uma conta interna, já tem acesso a ele. Muitos serviços são executados como LocalService (e há uma seleção para isso quando você observa as propriedades do serviço). Você só precisa conceder essa permissão se estiver tentando executar um serviço como um usuário do domínio que normalmente não tem esse privilégio.
Se você observar este link, ele também não mostrará o sistema local como tendo o direito de fazer o login como um serviço. link . O direito que falta não está necessariamente ausente. Já é "conhecido" que pode fazer login como um serviço. As permissões listadas aqui estão relacionadas ao que ele pode fazer depois de logado. Mesmo na configuração gpo para "logon como serviço", é mencionado: "Os serviços podem ser configurados para serem executados nas contas Sistema Local, Serviço Local ou Serviço de Rede, que ter um direito embutido para fazer logon como um serviço. Qualquer serviço que é executado sob uma conta de usuário separada deve ser atribuído o direito. "
Tags windows user-permissions