É possível usar a Política de Grupo para conceder a permissão para gerenciar os serviços do Windows?

Você pode definitivamente usar a Diretiva de Grupo para conceder aos usuários direitos para iniciar / parar serviços. Você só precisa modificar o descritor de segurança no serviço usando a extensão do lado do cliente da política de grupo "Segurança".

Uma pequena advertência: Eu vi casos em que alguns serviços não gostam da permissão padrão que uma modificação baseada em política de grupo coloca em um serviço (veja esta postagem sobre o serviço de Pesquisa do Windows se você quiser ver o que eu estou falando: link ), mas isso tem sido incomum na minha experiência.

Para "ver" o serviço no editor de Diretiva de Grupo, você precisará fazer a edição em um computador que tenha o serviço instalado. (Se este for um serviço Windows de ações, não é grande coisa, mas se for algo de terceiros em uma máquina que o tenha instalado, "runas" uma cópia do MMC e snap-in um editor de Diretiva de Grupo voltado para o GPO onde você deseja colocar essas configurações.)

Em "Configurações do Computador", "Configurações do Windows", "Configurações de Segurança" e "Serviços do Sistema", localize o serviço para o qual deseja conceder permissão de início / parada e defina uma configuração de política. Você tem que escolher um tipo de inicialização. Clique em "Editar segurança" e modifique a ACL padrão para incluir as permissões que você está procurando.

Eu recomendaria testar o GPO em um grupo restrito de computadores (vinculando o GPO a uma UO de teste com um único computador ou filtrando o GPO para apenas um único computador) e certificando-se de que ele faz o que deseja antes de você mudar a segurança em todos os seus computadores apenas para descobrir que não faz o que você quer.

Veja um pouco do que as várias entradas em uma ACE significam para serviços:

• link
• link

Para ver os descritores na notação SDDL, use o comando "sc sdshow service-name".

Editar:

A permissão delegada para criar novos serviços será um pouco difícil. Há um direito "SC_MANAGER_CREATE_SERVICE" que pode ser concedido a usuários no objeto gerenciador de controle de serviço (SCM) no gerenciador de objetos global.

Nas versões do Windows até o Windows Server 2003, os direitos não puderam ser alterados no SCM. A partir do W2K3 SP1, você pode alterar os direitos no SCM.

A API para alterar a segurança é SetServiceObjectSecurity , e mais informações estão disponíveis aqui: link

Mais algumas referências sobre: os direitos que podem ser concedidos ao SCM e o conjunto padrão de DACL no SCM estão disponíveis aqui: link

Em suma, não há como fazer isso sem escrever código. Não há uma configuração mágica de registro, etc. Se você conseguir que alguém escreva o código para você, é totalmente possível.

Dê uma olhada nestes artigos da base de conhecimento na Microsoft - Como configurar diretivas de grupo para definir a segurança dos serviços do sistema e Como conceder aos usuários direitos para gerenciar serviços no Windows 2000 , que discute métodos alternativos de concessão de acesso ao gerenciamento de serviços.

Espero que isso ajude.

A solução fornecida pela Microsoft cobre apenas o Windows 2000 Systems, como dizem na parte inferior do artigo, embora a solução seja válida para todos os sistemas operacionais.

Como adicionar serviços de terceiros aos serviços do sistema na diretiva de grupo

Portanto, é um grande passo para trás em sua ideia de centralização para a infraestrutura de Diretiva de Grupo lançada com o Windows 2008 R2.

Como criar o armazenamento central para arquivos de modelo administrativo de diretiva de grupo no Windows Vista