Win2008: SC SDSET - como conceder a um usuário local específico direitos para parar e iniciar um serviço local específico?

Question

Win2008: SC SDSET - como conceder a um usuário local específico direitos para parar e iniciar um serviço local específico?

Navegue suas respostas

#1 resposta do (1 votos)
#2 resposta do (1 votos)

6

Onde é uma referência útil para o comando sdset?

Eu posso ler e ler, e ainda tenho que encontrar uma lista simples de etapas para dizer:

Serviço: App
Usuário: Joe

Conceder Joe iniciar / parar / reiniciar para o aplicativo

(Por que não pode ser assim tão fácil?)

Nota : Fazer o sdset errado pode fazer com que um serviço desapareça do Service Manager e só fique visível para root / system (invisível para os administradores!). Acertar isso é importante.

windows-server-2008 windows-service user-permissions

por samsmith 14.12.2011 / 06:30

2 respostas

Tags windows-server-2008 windows-service user-permissions

Por que vejo um grande impacto no desempenho com o DRBD? Benefícios de usar um subdomínio para enviar email?

score 1 · Answer 1

Alguém explicou isso em toda a sua glória aqui:

link

Essencialmente, você pode obter o SID da entidade de segurança usando algo como Sysinternals PSGETSID e juntar a seqüência SDDL que deve ser usada com sc sdset.

Se você estiver preocupado com o fato de ele ficar de lado, deverá exportar uma cópia de backup da chave do Registro:

HKLM\SYSTEM\CurrentControlSet\services\<service>

score 1 · Answer 2

Não tenho certeza se você ainda está procurando ajuda aqui. Eu não fiz isso por um tempo. Descobrimos a prática de delegar o controle de serviço e apenas agora fazemos alguns dos administradores locais de nossos proprietários de aplicativos.

Você pode usar Subinacl para modificar as permissões de serviço:

subinacl /service SERVICE_NAME /grant=DOMAIN\GROUP=F

Use o verdadeiro nome do serviço (geralmente sem espaços), não o nome de exibição (geralmente tem espaços)

O comando SC só funciona para o controle de serviço remoto se ele tiver controle FULL do serviço. Todas as permissões que podem ser delegadas estão listadas abaixo.

  F : Full Control
  R : Generic Read
  W : Generic Write
  X : Generic eXecute
  L : Read controL
  Q : Query Service Configuration
  S : Query Service Status
  E : Enumerate Dependent Services
  C : Service Change Configuration
  T : Start Service
  O : Stop Service
  P : Pause/Continue Service
  I : Interrogate Service
  U : Service User-Defined Control Commands

Há também uma etapa única para permitir que os serviços sejam controlados remotamente se o servidor for o 2003 SP1 ou posterior: O SP1 alterou a ACL padrão no gerenciador de controle de serviço. O uso remoto de services.msc não funciona com a versão SP1 da ACL. Altere a ACL de volta para permitir a parada de início do serviço remoto com o seguinte comando. Ele é empacotado aqui, mas deve ser inserido como um único comando: sc sdset SCMANAGER D: (A ;; CCLCRPRC ;;; AU) (A ;; CCLCRPWPRC ;;; SY) (A ;; KA ;;; BA) S: (AU; FA; KA ;;; WD) (AU) ; OIIOFA; GA ;;; WD)

Mais informações sobre a alteração do ACL 2003 SP1 e de onde esse SDDL veio link

Hotfix se subinacl produz erro 1783 link

Você provavelmente precisará de um SDDL SCMANAGER diferente para servidores 2008 R1 / R2.