Как разрешить не администратору перезапустить службу Windows

Любой администратор знает, что предоставление любому пользователю повышенных привилегий в системе  Windows  — это серьезная угроза безопасности и устойчивости системы. Поэтому оптимальным считается подход, при котором пользователю предоставляется минимальный набор прав и привилегий, которого было бы достаточно для его работы. Ведь совсем необязательно, например,  администратору некого серверного приложения, предоставлять права локального администратора на весь сервер.

Хорошим примером такого подхода может быть случай, когда необходимо предоставить некому пользователю права перезапуска определенной службы. Например, необходимо предоставить техподдержке вендора, или своей внутренней службе сопровождения, права на удаленный перезапуск службы. Естественно, мы не хотим ради этой задачи предоставлять им права локального администратора.

Поэтому вместо предоставления прав локального администратора, или анализа приложения, прав на файлы и ветки в реестре при помощи NTMon/NTRegmon, попробуем воспользоваться утилитой  от  Microsoft  — SubInACL.

Данная утилита позволяет изменять права доступа непосредственно на службу, тем самым при помощи нее можно дать непривилегированному пользователю  права на управление этой службой (естественно, это далеко не единственная возможность SubInACL).

Синтаксис, позволяющий пользователю “user1″ права  на службу “service1″ на сервере “\\winitpro\server1″.

subinacl /service service1 /grant=winitpro\user1 = TO

где, T = права на запуск службы, O – права на остановку службы.

Есть и другие параметры команды:

  • F : Full Control
  • R : Generic Read
  • W : Generic Write
  • X : Generic eXecute
  • L : Read controL
  • Q : Query Service Configuration
  • S : Query Service Status
  • E : Enumerate Dependent Services
  • C : Service Change Configuration
  • T : Start Service
  • O : Stop Service
  • P : Pause/Continue Service
  • I : Interrogate Service
  • U : Service User-Defined Control Commands

Скачать SubInACL можно по этой ссылке SubInACL. (SubInACL  входит в состав набора утилит Windows 2003 Resource Kit).


Предыдущая статья Следующая статья

Комментариев: 2 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)