本文详细介绍了Windows服务的概念,包括服务与进程的区别,服务控制管理器的作用,以及服务的多种状态。同时,深入探讨了如何配置、启动和停止服务,列举了常用的运行在不同账户下的服务示例,如LocalSystem、NetworkService和LocalService。最后,提供了相关的PowerShell命令,帮助读者更好地理解和操作Windows服务。
一、Windows服务概述
服务与进程
Windows服务是指系统自动完成的,不需要和用户交互的过程,可长时间运行的可执行应用程序。这些服务可以在计算机启动时自动启动,可以暂停和重新启动而且不显示任何用户界面。这种服务非常适合在服务器上使用,或任何时候,为了不影响在同一台计算机上工作的其他用户,需要长时间运行功能时使用。还可以在不同于登录用户的特定用户帐户或默认计算机帐户的安全上下文中运行服务。
进程是程序运行的实例,系统会给运行中的进程分配CPU、内存等资源。
一个服务不管有没有被运行,都在你的硬盘里,只有当它真正被运行时,操作系统就会真正给它分配内存、CPU时间片等资源,这一次运行就对应一个“进程”。
服务控制管理器
Windows服务控制管理器(SCM)负责配置服务,启动和停止它们。
SCM控件面板可通过控制面板|系统和安全|管理工具|服务访问。它显示所有配置服务的名称、说明、状态、启动类型和用户名称的列表。
服务状态
服务可以在各种状态。某些状态是必需,有些则是可选。停止和正在运行是所有服务都必须都支持两个基本状态。这些状态显示在SCM中。
第三个可选状态是暂停。未安装是另一种隐式状态。
服务可以这些状态之间进行转换,如下图所示。
二、对服务的操作
配置服务
在SCM中双击某一服务可以对服务进行配置。
可以配置的内容有启动类型、登录身份和恢复操作。
也可以在依存关系中查看该服务依赖的系统组建及还有谁依赖当前服务。
启动服务
在SCM中右击某一状态栏不显示,启动类型为手动或自动的服务,可以选择启动菜单启动该服务。
停止服务
在SCM中右击某一状态栏为正在运行的服务,可以选择启动菜单停止该服务。也可以选择重启菜单,先停止,再启动该服务。
三、常用服务介绍
Local System(本地系统)
该账户具有相当高的权限。
首先,该账户也隶属于本地Administrators用户组,因此所有本地Administrators用户能
够进行的操作该账户也能够进行。其次,该账户还能够控制文件的权限(NTFS文件系统)
和注册表权限,甚至占据所有者权限来取得访问资格。如果机器处于域中,那么运行于
Local System账户下的服务还可以使用机器账户在同一个森林中得到其他机器的自动认
证。最后一点就是运行于Local System下的进程能够使用空会话(null session)去访问网络资源。而且,其他一些Windows用户模式下的核心组件也运行于该账户下,例如system32/Smss. exe等。
需要注意的是,运行于此账户下的进程使用的是HKEY_USERS/. Default账户配置,因此它
不能够访问其他账户的配置。
举例来说,以Local System账户运行的服务主要有:
Windows Update (Windows更新)
Com+ (管理基于组件对象模型(COM+)的组件的配置和跟踪)
Messenger Service (支持短信及相关功能)
Task Scheduler (在此计算机上配置和计划自动任务)
Server (支持此计算机通过网络的文件、打印、和命名管道共享)
Windows Installer (添加、修改和删除作为Windows Installer程序包(*. msi、*. msp)提供 的应用程序)
Network Service(网络服务)
Network Service账户是预设的拥有本机部分权限的本地账户,它能够以计算机的名义访问网络资源。但是他没有Local System那么多的权限,以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。
Network Service账户通常可以访问Network Service、Everyone组,还有认证用户有权限访问的资源。
运行于此账户下的进程使用网络账户配置文件HKEY_USERS/S-1-5-20和Documents and
Settings/NetworkService
举例来说,以Network Service账户运行的服务主要有:
Distr ibuted Transact ion Coordinator (协调跨多个数据库、消息队列、文件系统等资源管 理器的事务)
DNS Client (DNS客户端服务)
Performance Logs and Alerts (性能日志和警报)
Remote Procedure Call (是COM和DCOM 服务器的服务控制管理器。它执行COM和
DCOM服务器的对象激活请求、对象导出程序解析和分布式垃圾回收)
Workstation(使用SMB协议创建并维护客户端网络与远程服务器之间的连接)
IPsec Policy Agent ( Internet协议安全(IPsec)支持网络级别的对等身份验证、数据原始身 份验证、数据完整性、数据机密性(加密)以及重播保护。此服务强制执行通过IP安全策 略管理单元或命令行工具"netsh ipsec"创建的IPsec策略。)
Local Service(本地服务)
Local Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。
运行于此账户下的进程和运行于Network Service账户下的进程的区别在于运行于Local Service账户下的进程只能访问允许匿名访问的网络资源。
运行于Local Service 下的账户使用的配置文件是HKU/S-1-5-19和Documents and
Settings/LocaI Service
举例来说,以Local Service账户运行的服务主要有:
Remote Registry (使远程用户能修改此计算机上的注册表设置)
Smart Card(管理此计算机对智能卡的取读访问)
SSDP (发现使用SSDP协议的设备和服务)
DHCP Client (为此计算机注册并更新IP地址)
Base Filtering Engine (管理防火墙和Internet协议安全(IPsec)策略以及实施用户模式筛选)
Network List Service (识别计算机已连接的网络,收集和存储这些网络的属性,并在更改 这些属性时通知应用程序)
四、相关的PowerShell命令
查询服务管理指令
查询服务的状态
启动自动更新服务
在服务中查看
命令查看
过滤服务
停止服务
获取某个文件的内容
查询本机的WmiObject类中的所有win32_service
扫一扫
1282
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
