Действительно ли возможно использовать Групповую политику, чтобы дать разрешение управлять службами Windows?
Если Вам установили XCode, /Developer/Tools/SetFile. Разблокировать:
% SetFile -a l <path>
Заблокировать:
% SetFile -a L <path>
Для запросов можно использовать /Developer/Tools/GetFileInfo
Можно определенно использовать Групповую политику, чтобы предоставить пользовательским правам запуститься / сервисы остановки. Просто необходимо изменить дескриптор безопасности на сервисе с помощью клиентского расширения групповой политики "безопасности".
Очень небольшой протест: Я видел случаи, где некоторым сервисам не нравится разрешение по умолчанию, что основанная на групповой политике модификация ставит сервис (посмотрите на эту регистрацию о Windows Search service, если Вы хотите видеть то, о чем я говорю: http://peeved.org/blog/2007/12/07), но это было редко, по моему опыту.
Для "видения" сервиса в редакторе Групповой политики, необходимо будет сделать редактирование на компьютере, которому установили сервис. (Если это - служба Windows запаса затем, это не грандиозное предприятие, но если это - что-то, что третье лицо входит в машину, которой установили его, "runas" копия MMC и снимок - в редакторе Групповой политики, предназначенном для GPO, где Вы хотите поместить эти настройки.)
При "Компьютерных Настройках", "Windows Settings", "Настройки безопасности" и "Системные службы", определяют местоположение сервиса, который Вы хотите предоставить, запускают / разрешение остановки к и определяют установку политики. Необходимо выбрать тип запуска. Нажмите "Edit Security" и измените ACL по умолчанию для включения полномочий, которые Вы ищете.
Я рекомендовал бы тестировать GPO на принужденной группе компьютеров (или путем соединения GPO с тестом OU с одиночным компьютером, или путем фильтрации GPO только к одиночному компьютеру) и проверки, что это делает то, что Вы хотите перед движением, изменяя безопасность на всех компьютерах только, чтобы узнать, что это не делает то, что Вы хотите.
Вот некоторый фон на том, что различные записи в ACE означают для сервисов:
Для наблюдения дескрипторов в нотации SDDL используйте "кв/см sdshow сервисное имя" команда.
Править:
Делегированное разрешение создать новые сервисы будет немного жестким. Существует право "SC_MANAGER_CREATE_SERVICE", которое можно предоставить пользователям на объекте диспетчера управления службами (SCM) в менеджере по глобальному объекту.
В версиях Windows до Windows Server 2003 права не могли быть изменены на SCM. Начиная в W2K3 SP1, Вы могли изменить права на SCM.
API для изменения безопасности является SetServiceObjectSecurity, и больше информации доступно здесь: http://msdn.microsoft.com/en-us/library/aa379589 (По сравнению с 85) .aspx
Некоторое более ссылочное ре: права, которые можно предоставить SCM и набору DACL по умолчанию на SCM, доступны здесь: http://msdn.microsoft.com/en-us/library/ms685981 (По сравнению с 85) .aspx
Короче говоря, нет никакого способа сделать это w/o написание кода. И т.д. нет никакой волшебной установки реестра. Если можно заставить кого-то писать код для Вас, тем не менее, это полностью выполнимо.
Смотрите на эти статьи базы знаний в Microsoft - Как Настроить Групповые политики для Установки безопасности для Системных служб и Как предоставить пользовательским правам справиться с сервисами в Windows 2000, которые обсуждают альтернативные методы предоставления доступа для управления сервисами.
Надеюсь, это поможет.
Решение, предоставленное Microsoft, охватывает только системы Windows 2000, как говорится в конце статьи, хотя решение действительно для всех их ОС.
Как добавить сторонние службы к системным службам in Group Policy
Таким образом, это огромный шаг назад в реализации идеи централизации инфраструктуры групповой политики, выпущенной с Windows 2008 R2.