Сервер имен возвращает переходы к старым серверам имен - Причина?

Можно определенно использовать Групповую политику, чтобы предоставить пользовательским правам запуститься / сервисы остановки. Просто необходимо изменить дескриптор безопасности на сервисе с помощью клиентского расширения групповой политики "безопасности".

Очень небольшой протест: Я видел случаи, где некоторым сервисам не нравится разрешение по умолчанию, что основанная на групповой политике модификация ставит сервис (посмотрите на эту регистрацию о Windows Search service, если Вы хотите видеть то, о чем я говорю: http://peeved.org/blog/2007/12/07), но это было редко, по моему опыту.

Для "видения" сервиса в редакторе Групповой политики, необходимо будет сделать редактирование на компьютере, которому установили сервис. (Если это - служба Windows запаса затем, это не грандиозное предприятие, но если это - что-то, что третье лицо входит в машину, которой установили его, "runas" копия MMC и снимок - в редакторе Групповой политики, предназначенном для GPO, где Вы хотите поместить эти настройки.)

При "Компьютерных Настройках", "Windows Settings", "Настройки безопасности" и "Системные службы", определяют местоположение сервиса, который Вы хотите предоставить, запускают / разрешение остановки к и определяют установку политики. Необходимо выбрать тип запуска. Нажмите "Edit Security" и измените ACL по умолчанию для включения полномочий, которые Вы ищете.

Я рекомендовал бы тестировать GPO на принужденной группе компьютеров (или путем соединения GPO с тестом OU с одиночным компьютером, или путем фильтрации GPO только к одиночному компьютеру) и проверки, что это делает то, что Вы хотите перед движением, изменяя безопасность на всех компьютерах только, чтобы узнать, что это не делает то, что Вы хотите.

Вот некоторый фон на том, что различные записи в ACE означают для сервисов:

• http://support.microsoft.com/kb/914392
• http://msmvps.com/blogs/alunj/archive/2006/02/13/83472.aspx

Для наблюдения дескрипторов в нотации SDDL используйте "кв/см sdshow сервисное имя" команда.

Править:

Делегированное разрешение создать новые сервисы будет немного жестким. Существует право "SC_MANAGER_CREATE_SERVICE", которое можно предоставить пользователям на объекте диспетчера управления службами (SCM) в менеджере по глобальному объекту.

В версиях Windows до Windows Server 2003 права не могли быть изменены на SCM. Начиная в W2K3 SP1, Вы могли изменить права на SCM.

API для изменения безопасности является SetServiceObjectSecurity, и больше информации доступно здесь: http://msdn.microsoft.com/en-us/library/aa379589 (По сравнению с 85) .aspx

Некоторое более ссылочное ре: права, которые можно предоставить SCM и набору DACL по умолчанию на SCM, доступны здесь: http://msdn.microsoft.com/en-us/library/ms685981 (По сравнению с 85) .aspx

Короче говоря, нет никакого способа сделать это w/o написание кода. И т.д. нет никакой волшебной установки реестра. Если можно заставить кого-то писать код для Вас, тем не менее, это полностью выполнимо.