windows – “作为服务登录”实际上意味着什么？

The Log on as a service user right allows accounts to start network services or services that run continuously on a computer,even when no one is logged on to the console.

简而言之,您只希望为需要它的帐户提供此权限 – 默认情况下,即本地系统,本地服务和网络服务帐户,因为这些是默认情况下运行的服务.

If you wish to run a service under a different security context(就像您创建的服务帐户一样),您希望授予该服务帐户登录为服务权限,以便它可以在不需要用户登录的情况下运行您的服务.您链接的文章提供IIS和ASP以.NET为例,授予其他帐户权限;它适用于作为服务运行的第三方程序.

如果您不希望以SYSTEM或NetworkService的形式运行每个服务,则可以为各个服务设置服务帐户,并为其分配此“作为服务登录”权限.以这种方式使用服务帐户的主要优点是,如果您的服务受到损害,它将在运行它的帐户的安全上下文中运行,而不是SYSTEM和NetworkService具有的SYSTEM级安全上下文.

因此,最佳做法是仅将此权限分配给运行在其下的服务的帐户,并在根据principle of least privilege配置的服务帐户下运行单个服务(仅授予他们运行所需的权限;不要给他们管理员或系统权限).我想补充说,通过GPO控制它是更安全的方法.如果在每台服务器上本地控制它,那么在服务器上获得管理权限的任何人都可以控制哪些帐户可以在该服务器上运行服务,而通过GPO强制执行它需要在域级别获得适当的域权限.