「サービスとしてログオン」は実際にはどういう意味ですか？

リンクした記事 は、サービスとしてログオンする権限の説明を提供します：

[サービスとしてログオン]ユーザー権利を使用すると、コンソールにログオンしているユーザーがいない場合でも、コンピューターで継続的に実行されるネットワークサービスまたはサービスをアカウントで開始できます。

つまり、この権利を必要とするアカウントにのみこの権利を提供したいのです。デフォルトでは、ローカルシステム、ローカルサービス、およびネットワークサービスのアカウントです。これらはデフォルトで実行されるサービスであるためです。

別のセキュリティコンテキストでサービスを実行する場合 （作成したサービスアカウントのように）、そのサービスアカウントを付与する必要がありますサービスとしてログオンユーザーがログインしなくてもサービスを実行できるようにするための権限。リンクした記事は、例としてIISおよびASP.NETを提供します。この権利は追加のアカウントに付与されます。サービスとして実行されるサードパーティプログラムにも適用されます。

すべてのサービスをSYSTEMまたはNetworkServiceとして実行したくない場合は、個々のサービスのサービスアカウントをセットアップして、これに割り当てますサービスとしてログオン 正しい。この方法でサービスアカウントを使用する主な利点は、サービスが侵害された場合、SYSTEMおよびNetworkServiceが持つSYSTEMレベルのセキュリティコンテキストではなく、サービスを実行しているアカウントのセキュリティコンテキストで実行されることです。

したがって、ベストプラクティスは、サービスを実行するアカウントにのみこの権限を割り当て、 最小権限の原則 に従って構成されたサービスアカウントで個々のサービスを実行することです（必要な権限のみを付与します）実行します;それらに管理者またはシステム特権を与えないで下さい）。これをGPOで制御する方が安全なアプローチです。各サーバーでローカルに制御されている場合、サーバーの管理者権限を取得した人なら誰でも、そのサーバーでサービスを実行できるアカウントを制御できます。 GPOを使用して強制するには、ドメインレベルで適切なドメイン権限を取得する必要があります。