Permissões para iniciar / parar serviços no Windows (2008R2)

Eu não acredito que exista uma boa GUI para fazer isso no sistema local, mas talvez algo tenha sido adicionado desde a última vez que eu olhei.

Eu sei que SetACL pode ser usado para modificar a lista de controle de acesso de um serviço. Aqui está um exemplo da documentação sobre como conceder a capacidade de iniciar / parar o serviço de tempo do Windows domain1\group1 . SetACL é muito fácil de usar.

SetACL.exe -on "\server1\W32Time" -ot srv -actn ace
           -ace "n:domain1\group1;p:start_stop"

Você também pode definir as permissões com o sc incorporado, mas a sintaxe é muito mais enigmático. As opções são sc sdset e sc sdshow .

A outra opção é definir as permissões por meio de uma política .

Veja também esta pergunta: Como definir permissões de serviços do Windows a partir do Powershell

Você pode definir permissões nativas em serviços editando as strings SDDL usando SC.exe. Existem vários artigos online que passam pelos detalhes. Embora o uso desse método funcione, é muito entediante, propenso a erros e pode ser diferente dependendo do sistema operacional. Eu não usei o SetACL Studio, mas parece bastante abrangente com base em seu site.

Se for necessário delegar direitos a serviços em várias máquinas e possivelmente ter cenários mais complexos, recomendamos o uso de sistema Fronteira . Você pode configurar permissões de forma centralizada, que podem ser aplicadas a um ou mais servidores automaticamente, sem precisar tocar em cada servidor individualmente. Tudo é baseado no controle de acesso baseado em função (role based access control - RBAC). Divulgação completa: eu possuo a empresa que faz o System Frontier.