每个服务在用户帐户的安全上下文中执行。帐户的用户名和密码在安装服务时由CreateService功能指定。可以使用ChangeServiceConfig功能更改用户名和密码。您可以使用QueryServiceConfig函数获取与服务对象关联的用户名(但不是密码)。
启动服务时,SCM将登录到与服务关联的帐户。如果登录成功,系统将生成访问令牌并将其附加到新的服务进程。此令牌标识所有后续与安全对象(与其相关联的安全描述符的对象)的后续交互中的服务进程。例如,如果服务尝试打开管道的句柄,系统会在授予访问权限之前将服务的访问令牌与管道的安全描述符进行比较。
SCM不维护服务用户帐户的密码。如果密码过期,登录失败,服务无法启动。将帐户分配到服务的系统管理员可以创建不会过期的密码的帐户。管理员还可以通过使用服务配置程序来定期更改密码来管理帐户的密码。
如果服务在共享其信息之前需要识别另一个服务,则第二个服务可以使用与第一个服务相同的帐户,也可以在属于第一个服务识别的别名的帐户中运行。需要通过网络以分布式方式运行的服务应在域范围的帐户中运行。
