Estou desenvolvendo um serviço do Windows que usa PDH para consultar alguns dados do contador de desempenho.
É necessário que o serviço seja executado por outro usuário (ou seja, não pelo todo-poderoso SISTEMA).
Estou ciente de que o usuário que executa o serviço deve ser membro do grupo interno "Usuários do Monitor de Desempenho" para fazer essas chamadas. Quando adiciono o usuário a este grupo na máquina que executa o serviço (abrindo lusrmgr.msc e adicionando o usuário ao grupo lá), o serviço funciona corretamente e as chamadas PDH são bem-sucedidas. Isso funciona com usuários locais, usuários de domínio e contas de serviço gerenciadas (MSA).
Gostaria de poder adicionar um usuário de domínio ou MSA ao grupo Usuários do Monitor de Desempenho no nível do domínio, e não no nível da máquina. No Controlador de Domínio, vejo que há uma lista de grupos internos que inclui Usuários do Monitor de Desempenho, mas quando adiciono meu usuário de domínio ou MSA a esse grupo, ele não parece permitir que meu serviço use PDH como esperado.
- O grupo interno do domínio deve conferir permissões como essa aos usuários do domínio em computadores que pertencem ao domínio, como presumi?
- Se não, para que servem os grupos internos do domínio? Como eles são diferentes dos grupos integrados no nível da máquina? De que forma eles conferem permissões aos seus membros?
- Falta alguma outra configuração relevante para que essas alterações tenham efeito?
Não sou especialista em administração de redes do Active Directory e do Windows, então posso estar faltando algo básico. Agradeço qualquer informação.