假设您有一个活动目录域,并且您希望服务帐户在域上的多台计算机上运行某个
Windows服务.服务帐户必须是所有服务器上的同一帐户,因为它需要跨所有服务器的某些(文件访问)权限.
此用户能够运行服务所需的最低权限是“作为服务登录”权限 – 事实上,只要您转到“服务”面板并尝试使用域用户设置服务(无论如何)他们已经拥有什么权利,我相信他们会自动获得“登录即服务”权限.
我想要了解的是这自动暗示的其他权利/权限;
我发现在域帐户下运行的服务具有“作为服务登录”权限而没有其他(故意的,至少)权限,仍然能够读取本地文件系统上的文件.这是否意味着我在某个我不知道的地方获得了权限继承,或者这是否意味着“作为服务登录”还授予服务器上的某些文件访问权限或其他权限?
我想另一种提问的方式 – 是否有一个实用程序可以告诉你,对于给定的对象/用户/帐户,它究竟拥有什么权利以及为什么/从哪里来?
有不同的
logon types.将给定帐户或组指定为具有“作为服务登录”权限允许该帐户或grup使用该特定登录类型登录.除了使用“logoN32_logoN_SERVICE”类型登录的能力之外,“作为服务登录”不会授予该帐户任何其他权限.
组成员身份(例如“用户”组中的成员身份)驱动从文件系统读取文件的能力.登录时使用“WHOAMI / ALL”命令作为服务用户可以向您显示授予给定用户帐户的所有组成员身份和权限(包括SelogonServicelogonRight–“登录即服务”权限背后的权限). SysInternals“Process Explorer”工具可以为运行进程执行此操作(通过枚举其安全令牌).
就审计文件系统访问而言,您将不得不编写内容或找到第三方工具来枚举您要测试的所有文件和目录.文件系统ACL没有中央“交换所”.它们遍布整个文件系统.如果您想知道“xxx用户有权访问哪些文件/文件夹”,您将需要测试所有要查看的文件和文件夹.