É possível usar a Política de Grupo para conceder a permissão para gerenciar os serviços do Windows?

7

É possível usar a Política de Grupo para conceder a permissão para gerenciar serviços do Windows?

Eu realmente gostaria de saber se isso é possível e, em caso afirmativo, onde você recomenda procurar mais informações? Estou particularmente interessado no Server 2003.

Eu tentei algumas pesquisas na web bastante óbvias, mas a maioria dos resultados para Diretiva de Grupo, Serviços do Windows ou Permissões (e combinações semelhantes) acabam discutindo como habilitar ou desabilitar serviços específicos via GP, não permitindo que um usuário ou um grupo para fazer essas coisas manualmente.

Eu posso estar latindo na árvore errada com a minha abordagem. Qualquer sugestão é muito apreciada.

    
por Damian Powell 19.08.2009 / 09:16

3 respostas

7

Você pode definitivamente usar a Diretiva de Grupo para conceder aos usuários direitos para iniciar / parar serviços. Você só precisa modificar o descritor de segurança no serviço usando a extensão do lado do cliente da política de grupo "Segurança".

Uma pequena advertência: Eu vi casos em que alguns serviços não gostam da permissão padrão que uma modificação baseada em política de grupo coloca em um serviço (veja esta postagem sobre o serviço de Pesquisa do Windows se você quiser ver o que eu estou falando: link ), mas isso tem sido incomum na minha experiência.

Para "ver" o serviço no editor de Diretiva de Grupo, você precisará fazer a edição em um computador que tenha o serviço instalado. (Se este for um serviço Windows de ações, não é grande coisa, mas se for algo de terceiros em uma máquina que o tenha instalado, "runas" uma cópia do MMC e snap-in um editor de Diretiva de Grupo voltado para o GPO onde você deseja colocar essas configurações.)

Em "Configurações do Computador", "Configurações do Windows", "Configurações de Segurança" e "Serviços do Sistema", localize o serviço para o qual deseja conceder permissão de início / parada e defina uma configuração de política. Você tem que escolher um tipo de inicialização. Clique em "Editar segurança" e modifique a ACL padrão para incluir as permissões que você está procurando.

Eu recomendaria testar o GPO em um grupo restrito de computadores (vinculando o GPO a uma UO de teste com um único computador ou filtrando o GPO para apenas um único computador) e certificando-se de que ele faz o que deseja antes de você mudar a segurança em todos os seus computadores apenas para descobrir que não faz o que você quer.

Veja um pouco do que as várias entradas em uma ACE significam para serviços:

Para ver os descritores na notação SDDL, use o comando "sc sdshow service-name".

Editar:

A permissão delegada para criar novos serviços será um pouco difícil. Há um direito "SC_MANAGER_CREATE_SERVICE" que pode ser concedido a usuários no objeto gerenciador de controle de serviço (SCM) no gerenciador de objetos global.

Nas versões do Windows até o Windows Server 2003, os direitos não puderam ser alterados no SCM. A partir do W2K3 SP1, você pode alterar os direitos no SCM.

A API para alterar a segurança é SetServiceObjectSecurity , e mais informações estão disponíveis aqui: link

Mais algumas referências sobre: os direitos que podem ser concedidos ao SCM e o conjunto padrão de DACL no SCM estão disponíveis aqui: link

Em suma, não há como fazer isso sem escrever código. Não há uma configuração mágica de registro, etc. Se você conseguir que alguém escreva o código para você, é totalmente possível.

    
por 19.08.2009 / 13:53
1

Dê uma olhada nestes artigos da base de conhecimento na Microsoft - Como configurar diretivas de grupo para definir a segurança dos serviços do sistema e Como conceder aos usuários direitos para gerenciar serviços no Windows 2000 , que discute métodos alternativos de concessão de acesso ao gerenciamento de serviços.

Espero que isso ajude.

    
por 19.08.2009 / 09:34
0

A solução fornecida pela Microsoft cobre apenas o Windows 2000 Systems, como dizem na parte inferior do artigo, embora a solução seja válida para todos os sistemas operacionais.

Como adicionar serviços de terceiros aos serviços do sistema na diretiva de grupo

Portanto, é um grande passo para trás em sua ideia de centralização para a infraestrutura de Diretiva de Grupo lançada com o Windows 2008 R2.

Como criar o armazenamento central para arquivos de modelo administrativo de diretiva de grupo no Windows Vista

    
por 10.09.2014 / 14:07