Estou desenvolvendo um serviço do Windows que usa PDH para consultar alguns dados do contador de desempenho.
É necessário que o serviço seja executado por outro usuário (ou seja, não pelo todo-poderoso SISTEMA).
Estou ciente de que o usuário que executa o serviço deve ser membro do grupo interno "Usuários do Monitor de Desempenho" para fazer essas chamadas. Quando adiciono o usuário a este grupo na máquina que executa o serviço (abrindo lusrmgr.msc e adicionando o usuário ao grupo lá), o serviço funciona corretamente e as chamadas PDH são bem-sucedidas. Isso funciona com usuários locais, usuários de domínio e contas de serviço gerenciadas (MSA).
Gostaria de poder adicionar um usuário de domínio ou MSA ao grupo Usuários do Monitor de Desempenho no nível do domínio, e não no nível da máquina. No Controlador de Domínio, vejo que há uma lista de grupos internos que inclui Usuários do Monitor de Desempenho, mas quando adiciono meu usuário de domínio ou MSA a esse grupo, ele não parece permitir que meu serviço use PDH como esperado.
- O grupo interno do domínio deve conferir permissões como essa aos usuários do domínio em computadores que pertencem ao domínio, como presumi?
- Se não, para que servem os grupos internos do domínio? Como eles são diferentes dos grupos integrados no nível da máquina? De que forma eles conferem permissões aos seus membros?
- Falta alguma outra configuração relevante para que essas alterações tenham efeito?
Não sou especialista em administração de redes do Active Directory e do Windows, então posso estar faltando algo básico. Agradeço qualquer informação.
Os grupos BULTIN de domínio NÃO conferem acesso aos membros do domínio por padrão. Os grupos BUILTIN de domínio funcionam efetivamente como equivalentes aos grupos de máquinas locais para controladores de domínio.
--
Você pode ajustar esse comportamento e fazê-los funcionar da maneira descrita, mas acredito que o caminho correto a seguir é criar um novo grupo de segurança local de domínio. Em seguida, por meio da Política de Grupo (o recurso Grupos Restritos ou uma Preferência de Política de Grupo para grupos locais), certifique-se de que o novo grupo seja membro de todos os grupos locais de "Usuários do Monitor de Desempenho" membros do domínio.
Dessa forma, você só precisa alterar a associação do novo grupo para fazer alterações no acesso em todo o domínio.
Os grupos BUILTIN no Active Directory aplicam-se apenas aos Controladores de Domínio. Adicionar usuários ou grupos a eles não se aplica às estações de trabalho nem aos servidores membros. No entanto, o recurso Grupos Restritos da Política de Grupo pode ser usado para adicionar contas ou grupos a estações de trabalho e servidores membros por meio da Política de Grupo.