Permitir que uma conta de domínio modifique a ACL de um determinado serviço

Question

Permitir que uma conta de domínio modifique a ACL de um determinado serviço

#1 resposta do (0 votos)

2

Eu tenho uma conta de domínio do Windows que gostaria de poder modificar a ACL de um determinado serviço. Atualmente, esta conta está sendo usada para executar um instalador, e o instalador quer fazer as modificações da ACL, mas está falhando. A conta é um administrador local na caixa, mas aparentemente devido a alguma política de grupo, está ocorrendo uma falha de auditoria enquanto tenta modificar a ACL de um serviço.

Como posso conceder essa permissão a essa conta? Eu preferiria não ter que modificar a política de grupo se eu pudesse configurar explicitamente o serviço.

Agradeço quaisquer sugestões, mas especialmente respostas completas, pois alguns desses conceitos são bem novos para mim.

Novas informações:

Consegui atingir esse objetivo, mas provavelmente com um toque muito amplo ... em particular, modifiquei o descritor de segurança do serviço, usando "sc sdshow" e "sc sdset", e concedi à conta todas as permissões poderia pensar na cadeia SDDL ... em particular estes: CCDCLCSWRPWPDTLOCRSDRCWDWO

Alguém sabe qual deles realmente corresponde à permissão "modificar ACL" que eu estava procurando?

Alguém também sabe de início qual política de grupo que estava criando esse problema (já que, na ausência de políticas de grupo, o problema desaparece)?

windows windows-server-2012

por TCC 01.05.2015 / 18:26

1 resposta

Tags windows windows-server-2012

Você pode me ajudar com meu planejamento de capacidade? Como se cria uma solicitação de certificado para uma conta de serviço gerenciado no Windows?

score 0 · Accepted Answer

Como é uma política de grupo que interfere nessas permissões, recomendamos que você corrija a política de grupo.

Você pode fazer isso editando a política do grupo infrator, navegando até Configuração do computador > Configurações do Windows > Configurações de segurança > Serviços do Sistema > Escolha o serviço desejado na lista e vá para Propriedades. Edite a Segurança ... e adicione "Alterar permissões" à entidade de segurança desejada na guia Avançado.

Se você não puder fazer isso por algum motivo, pode continuar usando o método sc sdset que está usando agora ... as permissões de modificação são "WD" no SDDL. Tenha em atenção que isto provavelmente não ficará, se houver um GPO a sobrepor-se.