Para permitir que los servicios se ejecuten bajo las cuentas de un usuario, y no en el contexto de un sistema local, un servicio local o un servicio de red, comenzando con Vista, en Windows puede usar el "Iniciar sesión como servicio" política.
Esta política permite que determinadas cuentas inicien un proceso en nombre de un usuario como un servicio de Windows. Cuando se inicia este proceso, se registra como servicio.
La política de inicio de sesión como servicio permite ejecutar servicios bajo la cuenta de usuario de forma continua en una computadora, incluso cuando nadie está conectado. Además, este método le permite iniciar de forma segura servicios de terceros para los que no desea otorgar derechos de sistema local. Es mucho más seguro ejecutar servicios en nombre de un usuario no administrador.
Inicie el Editor de políticas de grupo local (gpedit.msc) o de dominio (gpmc.msc) y vaya a la siguiente sección de GPO: Configuración del equipo> Configuración de Windows> Configuración de seguridad> Políticas locales> Asignación de derechos de usuario. Encuentra el Iniciar sesión como servicio política.
Tenga en cuenta que en Windows Server 2016 y Windows 10, el grupo "NT ServicesAll services" se agrega a esta política de forma predeterminada.
Al instalar el rol de Hyper-V, se agrega adicionalmente el grupo 'NT VIRTUAL MACHINESVirtual Machines' (SID S-1-5-83-0). Al instalar el servidor web IIS, se agrega la cuenta de .NET Framework IIS APPPOOL.NET v4.5.
Insinuación. También puede cambiar la política de inicio de sesión como servicio local a través de política de seguridad local consola. Para hacer esto, abra el Panel de control de Windows> Política de seguridad local> Configuración de seguridad> Políticas locales> Asignaciones de derechos de usuario y modifique la política.
Haga doble clic en el inicio de sesión como servicio política, haga clic en el Agregar usuario o grupo y especifique la cuenta o el grupo al que desea otorgar los permisos para ejecutar los servicios de Windows.
Para aplicar la nueva configuración, ejecute el actualización de la política de grupo mando:
gpupdate /force
Ahora puede iniciar la consola de administración de servicios (services.msc) e intentar configurar el lanzamiento de cualquier servicio en nombre de una cuenta de usuario: seleccione servicio> Propiedades> pestaña Iniciar sesión> Iniciar sesión como> Esta cuenta> seleccionar cuenta y configurar una contraseña.
Aparece un mensaje:
A la cuenta .admin se le ha otorgado el derecho Iniciar sesión como servicio.
Al utilizar esta política, asegúrese de que el usuario o grupo no se agregue a otra política llamada "Denegar el inicio de sesión como servicio”. En esta política, puede especificar qué cuentas de usuario no pueden ejecutar servicios. Si el usuario se agrega simultáneamente a Denegar, inicie sesión como servicio y Iniciar sesión como servicio políticas, la política de denegación tendrá prioridad. Esos, cuando se inicia el servicio, aparece un mensaje:
Services
Windows no pudo iniciar el servicio xxxx en la computadora local. Error 1069: el servicio no se inició debido a una falla en el inicio de sesión.
Es aconsejable minimizar el número de cuentas de usuario a las que concede permisos de "Inicio de sesión como servicio".
