înregistrare Logare
Puncte:0
Nike avatar Server

Cele mai bune practici de conectare la server

drapel us
Nike

Am văzut multe articole despre cele mai bune practici despre rularea aplicației cu un cont de serviciu de domeniu. L-am încercat în laboratoarele mele setând GPO pentru a permite unui anumit utilizator de domeniu să se conecteze ca serviciu

Cu toate acestea, atunci când am instalat un program nou (de exemplu, un agent de instrumente de monitorizare), acesta poate rula în continuare de sistemul local. Și serviciul de aplicații încă rulează ca sistem local după ce am repornit.

După cum știu, Local System are privilegii foarte mari și toată lumea a spus că ar trebui să evitați să-l utilizați dacă nu este nevoie. Aceasta înseamnă că atunci când instalez, trebuie să schimb manual logarea serviciului ca serviciu în contul de service, nu?

Pot împiedica funcționarea serviciului cu sistemul local setând GPO sau registry?

Sau trebuie să folosesc doar contul de serviciu pentru anumite aplicații, cum ar fi serviciile SQL, serviciile web și serviciile de aplicații?

Îmi cer scuze dacă întrebările mele nu au fost clare, sugestia sau orice sfat este recunoscător

43
1 + 1
drapel cn
Greg Askew
„Pot împiedica rularea serviciului cu sistemul local setând GPO sau registry?” Nu.
0
Răspunde
Puncte:1
Massimo avatar Server
drapel ng
Massimo

  1. Există multe servicii de sistem care trebuie să ruleze ca LocalSystem; dacă ați reuși de fapt să împiedicați la nivel global să ruleze toate serviciile ca atare, acest lucru ar duce la un colaps total al sistemelor dumneavoastră.

  2. Presupun că vrei să previi aplicatii care rulează ca servicii de la rularea ca LocalSystem; nu există nicio modalitate de a impune acest lucru.

  3. Contul de utilizator utilizat de fiecare serviciu este specific configurației acestuia; acesta este configurat la instalarea serviciului, de obicei printr-un program de instalare; acest poate sa să fie schimbat ulterior de către un administrator, dar trebuie să vă asigurați că contul de utilizator pe care îl alegeți are toate permisiunile necesare (acces la foldere, acces la registru, privilegii de sistem etc.); de asemenea, modificarea proprietăților de conectare a serviciului Windows nu este de obicei suficientă: trebuie să configurați de fapt aplicarea pentru a utiliza noul cont de serviciu (vezi SQL Server ca exemplu).

  4. Majoritatea programelor de instalare care instalează servicii vor solicita un cont de serviciu de utilizat; dacă nu și doar folosesc LocalSystem, sunt șanse să aibă nevoie de el (sau poate că dezvoltatorul a fost leneș); trebuie să verificați cu dezvoltatorul/furnizorul dacă acest lucru poate fi schimbat și cum.

TL;DR: nu, nu există nicio modalitate de a aplica un standard global de „toate serviciile ar trebui să ruleze folosind conturi de domeniu”; aceasta trebuie gestionată individual pentru fiecare aplicație.

0 + 1
Nike avatar
drapel us
Nike
Mulțumesc! Am petrecut o oră să găsesc așa ceva.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.