Droits d'un service en fonction de son compte

[WebPac]

Salut tout le monde.
J'ai quelques soucis pour choisir le compte pour un service que je développe.
J'ai le choix entre LocalSystem, NetworkService et LocalService.
Voici ce que dit Microsoft sur le sujet :

Citation:

Compte Système local : il s'agit d'un compte puissant qui dispose d'un accès total au système et qui agit en tant qu'ordinateur sur le réseau. Si un service se connecte au compte Système local sur un contrôleur de domaine, il a accès à la totalité du domaine. Certains services sont configurés par défaut pour se connecter au compte Système local. Ne modifiez pas le paramètre par défaut du compte. Le nom du compte est LocalSystem. Il n'a pas de mot de passe.

Compte Service local : il s'agit d'un compte spécial, prédéfini qui est similaire à un compte utilisateur authentifié. Le compte Service local a le même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité aide à sauvegarder votre système si des services ou des processus individuels sont affectés. Les services qui s'exécutent en tant que compte Service local accèdent aux ressources réseau en tant que session NULL avec des informations d'identification anonymes. Le nom du compte est NT AUTHORITY\LocalService. Il n'a pas de mot de passe.

Compte Service réseau : il s'agit d'un compte spécial, prédéfini qui est similaire à un compte utilisateur authentifié. Le compte Service réseau a le même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité aide à sauvegarder votre système si des services ou des processus individuels sont affectés. Les services qui s'exécutent en tant que compte Service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur. Le nom du compte est NT AUTHORITY\NetworkService. Il n'a pas de mot de passe.

Mes tests apportent ceci :

LocalSystem, ne peut accéder aux fichiers en réseau, peut accéder au HKLM de la base de registre.

LocalService, droits plus limités que NetworkService donc, je ne prendrai pas celui-ci.

NetworkService, peut accéder aux fichiers en réseau, ne peut pas accéder au HKLM de la base de registre.
Je pense que ce problème vient du fait qu'un User windows qui n'a pas les droits administrateurs sur son poste ne peut pas y accéder (encore que ce n'est pas une information validée) et que le NetworkService utilise les mêmes droits qu'un utilisateur.

Autre problème, sur certains serveurs 2003, je n'arrive pas à lancer le service en tant que NeworkService, message d'erreur "Accès refusé 5". Je ne sais pas pourquoi, (d'autres services sont lancés en tant que NetworkService sur le serveur).

Le service doit pouvoir partager des clés de la base de registre avec une autre application qui n'est pas un service, pour que leur emplacement ne soit pas dépendant du compte du service (si par exemple, on change le compte manuellement), je me suis dit que le mieux était d'utiliser le HKLM.
Car si j'utilise le HKCU, cela correspond à HKEY_USERS\.DEFAULT pour le LocalSystem, HKEY_USERS\S-1-5-20 pour le NetworkService et je ne sais pas quelle clé exactement lorsque le compte correpond à l'administrateur ou un utilisateur.

La solution de changer le compte du service étant de palier au problème du service qui ne se lance pas sur un serveur 2003 en tant que NetworkService.

Le but dans tout ceci est que le service puisse toujours se lancer, qu'il puisse accéder aux fichiers partagés en réseau et qu'il partage des clés de la base de registre avec d'autres applications, qu'on choisisse un compte pour tout le temps (LocalSystem ou NetworkService) ou qu'on permette à l'utilisateur de changer le compte et qu'il mette administrateur.

Merci pour vos conseils sur ces points complexes.

[olivera]

bonjour,
pourqoui ne pas créer un utilisateur avec les droits et l'affecter ensuite au service que vous avez créer?

[WebPac]

Salut,

parce que je dois faire tout ceci par programmation, parce que je ne suis pas sûr de savoir créer un user et lui affecter tous les bons droits.
Parce qu'aussi, s'il y a de la maintenance à faire, ça change suivant la version du Windows (si c'est un familial, on n'accède pas à l'Active Directory).
Parce qu'aussi, si je crée et définit un User, je ne connaitrais pas ses clés associées au HKCU.
De plus, je travaille tout en indirect et les partenaires ne sont pas forcément des cracks de cette partie de windows, tant qu'il faut faire du Suivant, ils savent faire, dès qu'il y a un choix simple, on passe des heures et des heures avant que tout le monde soit au courant.

Et pour finir, pour apprendre et comprendre toute cette partie là sur la sécurité de windows et les diverses limitations en fonction de la cession du service.