Pourquoi le compte de service FotoWare a besoin d’un accès administrateur local sur le serveur ?

Il existe de nombreuses raisons techniques pour lesquelles le compte de service FotoWare nécessite un accès administrateur local sur le serveur.

Le compte de service doit avoir accès aux services de démarrage et d’arrêt, ouvrir les sockets pour la communication réseau, gérer les zones de stockage temporaires sur le serveur, gérer les communications interprocessus – tout cela nécessite des privilèges spéciaux que les membres du groupe d’administrateurs locaux reçoivent par défaut.

Certains autres éditeurs de logiciels choisissent d’exécuter plus de fonctionnalités dans le contexte du compte SYSTEM, mais comme la plupart des applications FotoWare doivent accéder à des fichiers sur d’autres serveurs (par exemple en utilisant des serveurs séparés pour le stockage, l’indexation et le traitement) compte simplifie grandement l’installation et la configuration pour les clients. Du point de vue de la sécurité, il n’y a pas de différence entre les deux approches.

Bien qu’il puisse être possible de configurer le système pour qu’il s’exécute sans les privilèges d’administrateur local, ce serait un travail assez important, et FotoWare ne fournit pas de documentation sur la procédure nécessaire pour le faire. Comme nous ne testons pas ces conditions, nous ne pouvons pas dire si ce serait une tâche difficile ou si même c’est possible. Nous ne pouvons pas empêcher les clients d’essayer de configurer leur système sans accorder les privilèges d’administrateur local au compte de processus, mais comme il n’y a pas de documentation ou de routines pour le configurer et que nos tests internes ne couvrent pas ce cas, nous ne pouvons pas apporter de support si ne suivez pas nos directives d’installation et de configuration.

Comme la plupart des clients exécutent maintenant des applications sur des serveurs virtuels en sandbox et utilisent le pare-feu intégré pour contrôler le trafic et les mesures de sécurité périmétrique supplémentaires, cela ne devrait pas poser de problèmes majeurs en fonctionnement réel.

[source (en anglais) : disponible sur fotoware.com]