Обход ограничений Windows для запуска GUI-приложений от службы Local System

Delphi , ОС и Железо , Windows

Вопрос о запуске графического приложения (GUI) от службы Windows, работающей от имени пользователя Local System, без включения возможности взаимодействия с рабочим столом, является сложной задачей. Приложение должно выполнять определенную задачу, принимать параметры командной строки и самостоятельно завершать работу после выполнения. Оно не предназначено для взаимодействия с пользователем, но требует наличия родительской формы TForm, что делает невозможным использование консольного приложения.

Что было сделано до решения проблемы

Были предприняты попытки использовать код, который включал в себя логирование пользователя и запуск приложения от его имени. Однако, несмотря на успешное возвращение функций LogonUser и CreateProcessAsUser, приложение так и не запускалось.

Решение проблемы

После обмена мнениями с сообществом и получения ценных советов было выявлено несколько ключевых проблем:

1. GUI-приложения и процессы сервисов "Session 0": Сервисы не могут иметь UI-элементов или запускать программы с UI-элементами. Однако, если элементы управления не требуют взаимодействия с пользователем, их использование в сервисе или приложении, запускаемом сервисом, вполне допустимо.

2. Отсутствие родительского окна для контрола: В коде была найдена ситуация, когда создавался конт롤 в runtime без установки родительского окна. Эта проблема была решена.

3. Запуск внешнего приложения только от имени профиля пользователя: Сервис был настроен на запуск от имени Local System, а также от имени двух разных админ-пользователей. Успешный запуск приложения происходил только при использовании учетных данных одного из пользователей. Проблема заключалась в отсутствии переменной окружения с путем к BPL для двух других случаев.

4. Доступ LocalSystem к файловой системе: При деплое нового кода на производственные сервера приложение не запускалось из-за отсутствия доступа к файловой системе у учетной записи Local System. После предоставления необходимых прав, проблема была решена.

Подтвержденное решение

В результате, были внесены изменения в подход к запуску GUI-приложений от сервиса, что позволило устранить проблемы с BPL и доступом к файловой системе. Теперь приложение запускается корректно и выполняет свои задачи.

Пример кода на Object Pascal (Delphi)

function CreateEnvironmentBlock(var lpEnvironment: Pointer; hToken: THandle; bInherit: BOOL): BOOL; stdcall; external 'userenv.dll';
function DestroyEnvironmentBlock(lpEnvironment: Pointer): BOOL; stdcall; external 'userenv.dll';

var
  _usertoken: THandle;
  _si: _STARTUPINFOW;
  _pi: _PROCESS_INFORMATION;
  _env: Pointer;
begin
  // Код для запуска приложения от имени пользователя
  // ...
end;

Приведенный выше код является лишь примером и не включает полное решение, поскольку в контексте данной статьи важно подчеркнуть общие принципы, а не детали реализации.

Заключение

Запуск GUI-приложений от службы Windows, работающей от имени Local System, требует тщательного планирования и понимания ограничений операционной системы. При правильном подходе, использование GUI-контролов в сервисах и приложениях, запускаемых сервисами, не является невозможным. Важно учитывать родительские окна для контролов, настройки BPL и права доступа к файловой системе.

Создано по материалам из источника по ссылке.

Обход ограничений Windows для запуска графического интерфейса приложений от службы Local System, требуя выполнения определенных задач без взаимодействия с пользователем.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: Windows ::