如何为域控制器上的Windows服务指定NetworkService或LocalService？

Question

该问题与以下现有问题不重复：

AUTHORITY\NetworkService不存在（问题是针对Windows Server 2003的
如何以“ NT Authority\NetworkService”的身份运行进程？（这是脚本问题）
https://stackoverflow.com/questions/34966029/adding-permissions-for-nt-authority-networkservice （这是关于向ACL添加NT AUTHORITY主体，而不是选择主体）在“查找用户” GUI中）

我在其他计算机上配置了Windows服务：

工作站（非域）计算机（运行Windows 10）
工作站（非域）Windows Server（运行Windows Server 2016）
域工作站（运行Windows 10）
域成员服务器（运行Windows Server 2016）
域控制器（运行Windows Server 2016）

加入域的计算机和成员服务器：

在除域控制器以外的所有计算机中，services.msc>服务属性>登录属性页的“选择用户”弹出窗口允许我选择NT AUTHORITY内置主体NETWORK SERVICE和LOCAL SERVICE（又名NT AUTHORITY\NetworkService和NT AUTHORITY\LocalService）。

如果我忽略“搜索用户”窗口，而只是在“选择用户”窗口中键入“ network service”，然后单击“检查名称”，那么它将正确解析为NETWORK SERVICE：

域控制器：

但是，在此Windows Server 2016域控制器上，“选择用户”弹出窗口不允许我指定任何本地计算机名称（这很有意义：本地计算机的安全系统成为域安全系统）。

...这意味着无法解析，搜索或选择NETWORK SERVICE或LOCAL SERVICE：

当我直接在“登录”选项卡中键入它时，出现此错误：

帐户名无效或不存在，或者密码对于指定的帐户名无效。

我注意到在域控制器上，“选择用户或服务帐户”窗口仅允许我选择“服务帐户”或“用户”，而不是“内置安全主体”。

加入域的工作站或成员服务器：

域控制器（Windows Server 2012 R2，但在2016年相同）：

我知道我可以通过使用sc config或手动编辑注册表（或通过在“此帐户：”文本框中键入“ Local Service”或“ Network Service”）来设置服务登录帐户，但是在域控制器上Services.msc之外使用“选择用户或服务帐户”对话框的其他情况下该怎么办？

Harry Johnston · Accepted Answer

根据最终的屏幕截图，您在帐户名中留出了空格。尝试Local Service代替。

如果这不起作用，则可以在命令行上如此处所示，我将其写为：

sc config ServiceName obj= "NT AUTHORITY\Local Service" password= ""

请注意，在命令行版本中，LocalService或Local Service是可以接受的，但是在GUI中只有后者有效。我不知道为什么，但这就是事实。

joeqwerty · Answer

在域控制器上执行此操作时，需要在对象类型中添加“内置安全主体”。照原样，您只在搜索用户和服务帐户对象类型。

Dan Minoh · Answer

您也可以只是转到“登录身份”选项卡，然后在文本输入框中将NT AUTHORITY\LocalService指定为用户名并清除两个密码字段，然后单击“确定”。