V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
baobao1270
V2EX  ›  问与答

Windows "Network Service"账户权限问题

  •  
  •   baobao1270 · 2019-04-25 08:51:54 +08:00 via Android · 2519 次点击
    这是一个创建于 2037 天前的主题,其中的信息可能已经有所发展或是发生改变。

    系统 Win10 Home 64 位 1809

    笔记本电脑电池用尽后自动关机,再次启动后,MySQL 服务无法启动,IIS 报 503 错误。所有使用 Network Service 账户登录的非系统服务都无法启动。

    查看 HTTPERR 日志,显示 AppOffline

    查看事件日志,显示"http"侦听器上的错误

    尝试重启 IIS,重启应用程序池,但不到几秒应用程序池就自动停止

    尝试重装 IIS,问题依然存在

    怀疑是权限问题,将 MySQL 服务登录账户改为我自己的用户名,启动成功。

    尝试将 AppPool 的应用程序标识改为"指定账户:<我的用户名>",IIS 正常运行。

    尝试将 AppPool 以 LocalSystem 身份运行,IIS 正常运行。

    遂怀疑是权限出了问题,由于是家庭版系统,无法使用"本地用户和组",使用"net localgroup"命令将 NetworkService 账户加入 Admininistors 组。MysSQL 可正常运行,但 IIS AppPool 必须以 NetworkService 账户运行才能正常访问,使用 ApplicationPoolIdentity 则报 503。

    出于安全原因,还是应当使用 ApplicationPoolIdentity 作为应用程序标识,而非 NetworkService,请问应该如何解决这个问题?

    另外,给将 NetworkService 账户加入 Admininistors 组的操作是否正确,是否会有安全隐患?

    3 条回复    2019-04-25 09:44:22 +08:00
    geelaw
        1
    geelaw  
       2019-04-25 09:22:04 +08:00 via iPhone
    把 NT AUTHORITY\NetworkService 加入 BUILTIN\Administrators 是一个非常、非常糟糕的事情。

    我觉得你应该先尝试删干净 C:\Windows\Temp 里面的东西(不要删除这个文件夹本身),然后尝试用 WMI 删除 NetworkService 的 profile (这可能需要用 WinRE )。

    IIS 有错误日志可以看。
    geelaw
        2
    geelaw  
       2019-04-25 09:24:10 +08:00 via iPhone
    另外 IIS 默认的 AppPool 的 profile 可以用 sysdm.cpl 删除
    ysc3839
        3
    ysc3839  
       2019-04-25 09:44:22 +08:00 via Android
    初步怀疑是意外断电导致系统什么地方损坏了。对于这种问题我一般会选择重装系统,尝试解决的话可能花费大量时间精力。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1804 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 16:31 · PVG 00:31 · LAX 08:31 · JFK 11:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.