Por que o MS Windows System \ LocalService não possui o “Log on como um serviço” correto?

1

Meu desenvolvedor está me informando que, para executar um serviço com os privilégios reduzidos da conta interna SYSTEM \ LocalService, ele precisa conceder a ele o direito "fazer logon como um serviço".

Como isso pode ser possível? Metade dos serviços na minha máquina Windows 2012 R2 estão sendo executados como LocalService (a outra metade, inexplicavelmente, LocalSystem).

O desenvolvedor me aponta para esta página, onde, na verdade, o direito não está listado lá. link

Alguém pode explicar esse paradoxo para mim?

    
por Douglas Held 06.05.2015 / 17:23

2 respostas

2

Você não precisa conceder esse privilégio, pois o LocalService, como uma conta interna, já tem acesso a ele. Muitos serviços são executados como LocalService (e há uma seleção para isso quando você observa as propriedades do serviço). Você só precisa conceder essa permissão se estiver tentando executar um serviço como um usuário do domínio que normalmente não tem esse privilégio.

    
por 06.05.2015 / 17:52
1

Se você observar este link, ele também não mostrará o sistema local como tendo o direito de fazer o login como um serviço. link . O direito que falta não está necessariamente ausente. Já é "conhecido" que pode fazer login como um serviço. As permissões listadas aqui estão relacionadas ao que ele pode fazer depois de logado. Mesmo na configuração gpo para "logon como serviço", é mencionado: "Os serviços podem ser configurados para serem executados nas contas Sistema Local, Serviço Local ou Serviço de Rede, que ter um direito embutido para fazer logon como um serviço. Qualquer serviço que é executado sob uma conta de usuário separada deve ser atribuído o direito. "

    
por 14.05.2015 / 00:55