Вопрос: Предоставление разрешения диспетчера управления службам пользователю вне группы администратора


У меня есть пользователь вне группы администратора. Как я могу предоставить разрешение администратора диспетчера управления услугами для этого (конкретного) пользователя?

Это похоже на SC_MANAGER_ALL_ACCESS из следующей ссылки:

http://msdn.microsoft.com/en-us/library/windows/desktop/ms685981%28v=vs.85%29.aspx


6
2017-10-22 16:01


Источник


Возможно, вам придется написать программу (используя функции OpenSCManager и SetServiceObjectSecurity). Имейте в виду, что если вы сделаете это, пользователь сможет предоставить себе доступ администратора, если он захочет. - Harry Johnston
Пользователи группы администраторов могут это сделать. Что именно из настроек группы администратора вызывает это? - Pavel Radzivilovsky
Вы видели это: stackoverflow.com/questions/3279392/... может быть, это может помочь - Artyom
@PavelRadzivilovsky: диспетчер управления службами имеет ACL, который по умолчанию явно предоставляет полный доступ к группе «Администраторы». - Harry Johnston
Бва, я не знал, что может быть такая вещь. Кстати, blogs.msdn.com/b/distributedservices/archive/2009/03/13/... - Pavel Radzivilovsky


Ответы:


Попробуйте sc.exe с командой sdset. Он использует формат sddl, и я не уверен, что вы можете реализовать свои потребности именно так, как хотите. См. Статью Понимание разрешений SDDL в ACE_String для преобразования в формат sddl.


1
2017-10-23 06:26



Добро пожаловать в Server Fault! Хотя это теоретически может ответить на вопрос, было бы предпочтительнее чтобы включить здесь основные части ответа и предоставить ссылку для справки. - Scott Pack
В частности, используйте sc sdset SCMANAGER как описано здесь (но с другой строкой SDDL, конечно): support.microsoft.com/kb/907460 - Harry Johnston


Сделайте резервную копию существующих разрешений:

sc sdshow scmanager

D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Замените SID на группу AD или SID пользователя

sc sdset scmanager D:(A;;0xF003F;;;S-1-5-21-3674034044-3586052758-1582440453-1121)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

0
2017-11-06 05:32