已授予账号.\Cliff "以服务方式登录"的权限

---------------------------------------------------

进入服务管理器（Services.msc，或者“我的电脑——属性——管理——服务”），找到Apache的服务项（Apache2.2），设置属性，登录用户选择受限用户（Apache-u）输入受限用户的密码，应用，确定。

这里“确定”之后一般会有提示（已授予账户.\apache-u“以服务方式登录”的权利）。这个提示相当于在组策略（开始->管理工具->本地安全策略，或者使用gpedit.msc打开）中的“用户权利分配”中选择“作为服务登陆”，添加apache-u用户。

可在任务管理器中查看httpd.exe进程的用户名为apache-u，使用PHP+Mysql的程序都可正常运行。
到这里已经完成啦“Windows下Apache应用环境目录权限”的受限制使用设置。

http://clin003.com/servers/windows-apache-directory-permissions-1798/

---------------------------------------------------

允许在本地登录

1. 背景
   
   尝试在基于 Windows 的计算机的控制台上登录的用户（使用 Ctrl+Alt+Delete 键盘快捷方式）和尝试启动服务的帐户必须在主机计算机上拥有本地登录权限。本地登录操作的示例包括：管理员登录到企业中成员计算机或域控制器的控制台和域用户使用非特权帐户登录到成员计算机以访问其桌面。使用远程桌面连接或终端服务的用户在运行 Windows 2000 或 Windows XP 的目标计算机上必须具有“允许在本地登录”用户权限，因为这些登录模式对于主机计算机来说是本地的。如果用户登录到启用了终端服务的服务器而又不具有此用户权限，但他们具有“允许通过终端服务登录”用户权限，则他们仍可以在 Windows Server 2003 域中启动远程交互式会话。
2. 危险配置
   
   以下是有害的配置设置：
   • 从默认域控制器的策略中删除管理安全组，包括 Account Operators、Backup Operators、Print Operators、Server Operators 和内置 Administrators 组。
   • 从默认域控制器的策略中删除域中成员计算机和域控制器上的组件和程序所使用的服务帐户。
   • 删除登录到域中成员计算机的控制台的用户或安全组。
   • 删除在成员计算机或工作组计算机的安全帐户管理器 (SAM) 数据库中定义的服务帐户。
   • 删除通过在域控制器上运行的终端服务进行身份验证的非内置管理帐户。
   • 通过 Everyone 组将域中的所有用户帐户显式或隐式添加到“拒绝本地登录”登录权限中。此配置会阻止用户登录到域中的任何成员计算机或任何域控制器。
3. 授予此用户权限的原因
   • 用户必须具有“允许在本地登录”用户权限才能访问工作组计算机、成员计算机或域控制器的控制台或桌面。
   • 用户必须具有此用户权限才能通过在 Window 2000 成员计算机或域控制器上运行的终端服务会话进行登录。
4. 删除此用户权限的原因
   • 如果未能将控制台访问权限制在合法的用户帐户范围内，则未经授权的用户可能下载并执行恶意代码来更改他们的用户权限。
   • 删除“允许在本地登录”用户权限可以阻止未经授权即在计算机（例如域控制器或应用程序服务器）的控制台上登录。
   • 删除此登录权限可以阻止非域帐户登录域中成员计算机的控制台。
5. 兼容性问题的示例
   • Windows 2000 终端服务器：用户必须拥有“允许在本地登录”用户权限才能登录 Windows 2000 终端服务器。
   • Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003：必须向用户帐户授予此用户权限，然后它们才能登录运行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的计算机的控制台。
   • Windows NT 4.0 和更高版本：在运行 Windows NT 4.0 和更高版本的计算机上，如果您添加“允许在本地登录”用户权限，但又隐式或显式授予了“拒绝本地登录”登录权限，则帐户将无法登录域控制器的控制台。

https://support.microsoft.com/zh-cn/kb/823659

已授予账号 "以服务方式登录"的权限