Como posso conceder aos usuários a capacidade de instalar serviços do Windows?

A permissão delegada para instalar serviços será um pouco difícil. Há um direito "SC_MANAGER_CREATE_SERVICE" que pode ser concedido a usuários no objeto gerenciador de controle de serviço (SCM) no gerenciador de objetos global.

Nas versões do Windows até o Windows Server 2003, os direitos não puderam ser alterados no SCM. A partir do W2K3 SP1, você pode alterar os direitos no SCM.

A API para alterar a segurança é SetServiceObjectSecurity , e mais informações estão disponíveis aqui: link

Mais algumas referências sobre: os direitos que podem ser concedidos ao SCM e o conjunto padrão de DACL no SCM estão disponíveis aqui: link

Em suma, não há como fazer isso sem escrever código. Não há uma configuração mágica de registro, etc. Se você conseguir que alguém escreva o código para você, é totalmente possível.

Eu acho que o maior problema é deixar a equipe de desenvolvimento acessar um servidor que eles não administram. Em vez de tentar conceder os direitos aos usuários (SC_MANAGER_CREATE_SERVICE), é muito difícil dar a eles sua própria caixa - mesmo que seja apenas uma VM para testar, uma vez que eles estejam prontos, um administrador real deve instalar os serviços no sistema de produção. p>     

link tem algumas informações sobre gerenciamento de serviços, mas não acho que isso possa ser estendido para incluir a criação de serviços sem algumas grandes mudanças de segurança em seu servidor.

Se você criar um serviço ou serviços e conceder acesso conforme descrito na base de conhecimento, seus desenvolvedores poderão parar o serviço e copiar novos binários, para que possam desenvolver / depurar serviços, mesmo se você precisar criá-los em primeiro lugar .

Pessoalmente, eu limito nossos desenvolvedores a um servidor de teste e concedo a eles acesso de administrador. Os pequenos queridos não têm acesso aos meus servidores ao vivo sem primeiro me convencer que o material deles está funcionando!

JR