6 votos

Win2008: SC SDSET - la concesión de un local específico de derechos de usuario para iniciar y detener un determinado servicio local?

Donde es una referencia útil para la sdset de comando?

Puedo leer y leer, y todavía tengo que encontrar una sencilla lista de pasos a decir:

Servicio: App
Usuario: Joe

Conceder Joe iniciar/detener/reiniciar la Aplicación

(¿Por qué no puede ser así de fácil? )

Nota: Llegar sdset equivocado puede causar un servicio a desaparecer de Service Manager, y sólo será visible a root/system (invisible a los administradores!). Obtener este derecho es importante.

1voto

Greg Askew Puntos 17236

Alguien ha explicado en toda su gloria aquí:

http://msmvps.com/blogs/erikr/archive/2007/09/26/set-permissions-on-a-specific-service-windows.aspx

Esencialmente, usted puede obtener el SID de la entidad de seguridad el uso de algo como Sysinternals PSGETSID, y juntar las piezas de la cadena SDDL que es para ser utilizado con sc sdset.

Si usted está preocupado acerca de lo que va de lado, debe exportar una copia de seguridad de la clave del registro:

HKLM\SYSTEM\CurrentControlSet\services\<service>  

1voto

Craig620 Puntos 1580

No estoy seguro si usted todavía está buscando ayuda aquí. Yo no he hecho esto por un rato. Salimos de la práctica de delegar el servicio de control y acaba de hacer un par de nuestra aplicación, los dueños de locales de administradores de ahora.

Usted puede utilizar Subinacl para modificar los permisos del servicio:

subinacl /service SERVICE_NAME /grant=DOMAIN\GROUP=F

Usar el verdadero nombre de servicio (generalmente sin espacios), no el nombre de la pantalla (usualmente tiene espacios)

El comando SC sólo funciona para el servicio remoto de control de si se tiene el control COMPLETO del servicio. Todos los permisos pueden ser delegadas se enumeran a continuación.

  F : Full Control
  R : Generic Read
  W : Generic Write
  X : Generic eXecute
  L : Read controL
  Q : Query Service Configuration
  S : Query Service Status
  E : Enumerate Dependent Services
  C : Service Change Configuration
  T : Start Service
  O : Stop Service
  P : Pause/Continue Service
  I : Interrogate Service
  U : Service User-Defined Control Commands

También hay un paso de tiempo para permitir que los servicios a ser controlado de forma remota si el server 2003 SP1 o posterior: SP1 cambiado la ACL predeterminada en el administrador de control de servicios. Uso a distancia de servicios.msc no funciona con la versión SP1 de ACL. Cambiar la ACL hacia atrás para permitir el servicio remoto de parada de inicio con el siguiente comando. Se incluye aquí, pero debe ser introducido como un solo comando: sc sdset SCMANAGER D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Más información acerca de 2003 SP1 cambio ACL y donde que SDDL vino de http://support.microsoft.com/?id=907460

Revisión si subinacl produce el Error de 1783 http://support.microsoft.com/kb/827209

Usted probablemente necesitará una diferente SCMANAGER SDDL de 2008 R1/R2 servidores.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: