Я не хочу повторять некоторые хорошие ответы здесь, таким образом, я вставлю больше материала, я не видел, будьте упомянуты:
Физиологический
Оборудование
Я не уверен, что Вы попытались сделать прежде, но вот то, что я просто сделал и имел успех:
1) Загруженный Tomcat 5.5.27 установщиков службы Windows и установленный это.
2) Выведенный сервисный дескриптор безопасности TomCat5 с помощью "кв/см sdshow tomcat5", который показал мне:
D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
Это - дескриптор довольно коллективной безопасности для сервисов. Я видел его дословно на некоторых услугах Microsoft. У СИСТЕМЫ и встроенных Администраторов есть "полный контроль", "Продвинутые пользователи" могут остановиться, запуститься и приостановить сервис, и "Аутентифицируемые Пользователи" могут запросить свойства сервиса (я заминаю немного здесь).
3) Я создал ограниченного пользователя, названного "бобом" на моем поле, открыл командную строку "RUNAS" как он и получил его SID от "WHOAMI / ВСЕ" (команда, это находится на Windows Server 2003, но не на XP... не знают о Vista и Windows 7 первое, что пришло на ум). Я проверил, что Bob не мог остановиться / запускаются, сервис Tomcat (использующий "СЕТЬ ОСТАНАВЛИВАЮТ tomcat5"). Я получил ту же ошибку, о которой Вы сообщаете в своем сообщении.
4) От моей регулярной командной строки администратора, выполнил следующее:
sc sdset tomcat5 D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;RPWPDT;;;S-1-5-21-1409082233-484763869-854245398-1009)
Эта строка SDDL дает SID Bob's (S-1-5-21-1409082233-484763869-854245398-1009) права остановить, запустить и приостановить сервис (RP, WP и DT, соответственно).
5) Я зеркально отразил назад к моей командной строке "Bob" и проверил, что мог теперь остановить и запустить сервис с помощью СЕТЕВОЙ ОСТАНОВКИ и СЕТЕВОГО ЗАПУСКА.
Я рекомендовал бы создать группу к delegte это право на, поместив пользователя в ту группу, получив SID группы (использующий WHOAMI или любой другой инструмент) и изменяющий дескриптор безопасности этот путь.
Я думал бы, что использование Групповой политики для изменения дескриптора безопасности будет хорошо работать. Я видел случаи, где некоторым сервисам не нравится разрешение по умолчанию, что основанная на групповой политике модификация ставит сервис (посмотрите на эту регистрацию о Windows Search service, если Вы хотите видеть то, о чем я говорю: http://peeved.org/blog/2007/12/07), но это было редко, по моему опыту.
Если Вы хотите больше фона на дескрипторах безопасности для сервисов, взглянули на http://msmvps.com/blogs/alunj/archive/2006/02/13/83472.aspx и http://support.microsoft.com/kb/914392.
Вы могли настроить задание Windows Scheduler для выполнения команды. Задание планировщика может быть настроено для выполнения команды под учетными данными некоторого другого пользователя. Можно затем установить безопасность на задании так, чтобы только определенная группа пользователей могла выполнить его.
Вам будут нужны права администратора для создания запланированной задачи, но можно затем дать другим людям права выполнить ее. Даже при том, что это - запланированная задача, можно установить его так, чтобы это только работало по требованию.
Например, скажем, Вы создаете задание (откройте Control Panel> Scheduled Tasks, затем щелкните правой кнопкой и выберите New> Запланированная задача), названный: StartTomcat
Перейдите к вкладке "Task".
Установите "Выполнение", и "Запускаются в" значениях к командной строке, которая запускает Tomcat. Также Набор "Выполненный Как" строка, чтобы быть пользователем этому позволяют запустить и остановить Tomcat и нажать кнопку "Set password..." для обеспечения пароля пользователя. Наконец, удалите проверку из поля Enabled, так как Вы только хотите выполнить задание по требованию.
Затем перейдите к вкладке "Security".
Добавьте людей, Вы хотите позволить выполнять задачу, и предоставлять им только "Чтение и Выполнять" полномочия на задаче.
Наконец, создайте пакетный файл для выполнения задачи. Пакетный файл будет содержать строку:
schtasks / выполненный/tn StartTomcat
Положите пакетный файл на место, это доступно для пользователей, которые должны выполнить его. Могло бы даже быть возможно поместить пакетный файл на отдельную машину, но Вам будут нужны некоторые дополнительные параметры к schtasks строке. Можно искать те параметры в Windows Help.
Необходимо узнать то, что делает эти сервисы Tomcat столь особенными, что нормальные методы для управления ими в Windows не работают. Как они не работают? Это - просто проблема Доступа запрещен? Если так, ProcMon был бы очень полезен для выяснения конкретно, где доступ должен быть предоставлен.