Как разрешить не администратору перезапустить службу Windows | Windows для системных администраторов

Как разрешить не администратору перезапустить службу Windows

Любой администратор знает, что предоставление любому пользователю повышенных привилегий в системе  Windows  — это серьезная угроза безопасности и устойчивости системы. Поэтому оптимальным считается подход, при котором пользователю предоставляется минимальный набор прав и привилегий, которого было бы достаточно для его работы. Ведь совсем необязательно, например,  администратору некого серверного приложения, предоставлять права локального администратора на весь сервер.

Хорошим примером такого подхода может быть случай, когда необходимо предоставить некому пользователю права перезапуска определенной службы. Например, необходимо предоставить техподдержке вендора, или своей внутренней службе сопровождения, права на удаленный перезапуск службы. Естественно, мы не хотим ради этой задачи предоставлять им права локального администратора.

Поэтому вместо предоставления прав локального администратора, или анализа приложения, прав на файлы и ветки в реестре при помощи NTMon/NTRegmon, попробуем воспользоваться утилитой  от  Microsoft  — SubInACL.

Данная утилита позволяет изменять права доступа непосредственно на службу, тем самым при помощи нее можно дать непривилегированному пользователю  права на управление этой службой (естественно, это далеко не единственная возможность SubInACL).

Синтаксис, позволяющий пользователю “user1″ права  на службу “service1″ на сервере “\\winitpro\server1″.

subinacl /service service1 /grant=winitpro\user1 = TO

где, T = права на запуск службы, O – права на остановку службы.

Есть и другие параметры команды:

  • F : Full Control
  • R : Generic Read
  • W : Generic Write
  • X : Generic eXecute
  • L : Read controL
  • Q : Query Service Configuration
  • S : Query Service Status
  • E : Enumerate Dependent Services
  • C : Service Change Configuration
  • T : Start Service
  • O : Stop Service
  • P : Pause/Continue Service
  • I : Interrogate Service
  • U : Service User-Defined Control Commands

Скачать SubInACL можно по этой ссылке SubInACL. (SubInACL  входит в состав набора утилит Windows 2003 Resource Kit).

Еще записи по теме: Windows Server 2003
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 2

Оставить комментарий
  1. krasaval | 03.06.2011

    Обычно для этих целей используются штатная утилита
    sc sdshow / sc sdset

    или GUI svcadmin

    Ответить
  2. itpro | 20.06.2011

    У sc sdshow / sc sdset синтаксис предоставления прав больно уж зубодробительный, мне намного проще пользоваться subinacl, синтаксис удобнее

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00108 sec