文件系统访问
LocalService 帐户严重限制文件访问。 例如,驱动程序无法再写入 %windir% 目录。
注册表访问
许多对 LocalSystem 帐户开放的注册表项,对于 LocalService 帐户则是只读的。 例如,驱动程序不再能够写入 HKLM 子树下的注册表项。
命名内核对象
确保 WIA 驱动程序和外部组件(例如捆绑应用程序)访问的命名对象(例如事件和互斥体)具有适当的 ACL。 如果应用程序创建命名事件对象,但不专门授予对 LocalService 帐户的访问权限,驱动程序将无法使用它。 同样,如果微型驱动程序创建命名事件对象,则它必须授予相同的访问权限,否则应用程序将无法使用该事件对象。
进程外 COM 对象
除非该组件显式向 LocalService 帐户授予适当的权限,否则任何创建或使用进程外 COM 接口的尝试都将失败。 例如,如果组件未向 LocalService 帐户授予权限,则调用 CoCreateInstance 或 CoCreateInstanceEx(Microsoft Windows SDK 文档中都描述了两者)以及CLSCTX_LOCAL_SERVER标志集可能会失败。 同样,尝试使用指向非进程内 COM 接口的指针的驱动程序可能会导致失败。 这种情况可能发生在组件调用驱动程序并为其提供一个接口指针,通过该接口驱动程序可以回调到组件。
创建和打开进程
WIA 驱动程序不应手动启动其他进程(例如,通过调用 CreateProcess 或 CreateProcessAsUser)。 尽管对于 LocalSystem 帐户下的驱动程序,此行为会成功,但在新的 LocalService 帐户下,驱动程序将无法再这样做。 有关 CreateProcess 和 CreateProcessAsUser 的详细信息,请参阅 Windows SDK 文档。