1. Accueil
  2. Question et réponse
  3. Exigences du compte de service Windows?

Exigences du compte de service Windows?

2010-10-07 3 views
1

J'ai un service Windows qui nécessite la possibilité d'interroger AD, ainsi que d'ouvrir un port TCP.Exigences du compte de service Windows?

Auparavant, je l'avais exécuté en tant que mon propre compte de domaine personnel configuré en tant qu'administrateur local sur le serveur. Plus tard, le service informatique a exigé qu'il s'exécute comme son propre compte (logique), et nous avons essayé de dupliquer la configuration du compte.

Lors de la reconfiguration du service à exécuter en tant que compte nouvellement créé, il ne démarre pas. Aucune exception levée, aucune erreur dans les journaux, rien. Il refuse juste de commencer.

Quelle est la meilleure façon de déboguer cela? Nous essayons de reproduire le problème localement où nous pouvons faire le débogage en temps réel maintenant.

Exigences ou autorisations spécifiques requises par le compte sur le serveur?

Source

2010-10-07 JasonA

Répondre

0

Réponse à cette question Je pense que c'est already here on SO.

Cependant, voici quelques wise advice from Microsoft:

exécuter le service dans un contexte de sécurité spécifique . Pour aider à sécuriser votre système contre les attaques, exécutez le service avec les droits utilisateur minimaux. Si vous avez besoin de plus de droits d'utilisateur que ceux qui sont accordés aux comptes d'utilisateur minimal, n'exécutez pas le service en tant qu'utilisateur avec les informations d'identification administratives .

Aussi, ne changent pas la sécurité politique pour élever les droits des utilisateurs de les connexions intégrées (système, Anonymous d'ouverture de session, le service local et du réseau de services ). Au lieu de cela, créez un compte personnalisé , puis accordez au compte les droits d'utilisateur que votre service peut exiger . Si vous avez besoin d'informations d'identification réseau , utilisez un compte de domaine. Si vous n'avez pas besoin d'informations d'identification réseau , utilisez un compte local. Vous pouvez passer plus de temps à créer une coutume compte avec les droits utilisateur limités, mais cela est plus sûr que si vous soit exécuter le service avec trop d'utilisateurs droits ou lorsque vous ajoutez des droits d'utilisateur à un compte qui est inclus avec le système d'exploitation .

Source

2010-10-07 16:52:47

+0

Merci Noel - oui, nous utilisions un compte AD spécifique dans ce cas, mais à la fin il s'est avéré être un problème avec le service lui-même. Ce n'était pas tout à fait installé correctement, et pas nécessairement le compte. Très étrange. – JasonA

Questions connexes

 Questions connexes