Вопросы Теги

Как я даю разрешение пользователя домена запустить и остановить сервис Tomcat?

Я не хочу повторять некоторые хорошие ответы здесь, таким образом, я вставлю больше материала, я не видел, будьте упомянуты:

Физиологический

  • складной табурет, если Вам не нравится сидеть на полу.
  • Полиэтиленовый пакет для мусора, если засаливание в еде.
  • панели мюсли; быстро быстрое потребление с минимальным мусором.
  • более безопасные контейнеры как верблюд pak для воды; не давайте шанс пролить жидкости как открытая чашка кофе.

Оборудование

  • адаптер питания ноутбука или дополнительная батарея, если никакой доступный сокет для внешних устройств.
  • Кабель Ethernet, если ноутбук может быть включен в патч-панель переключателя для доступа или диагностического сниффинга.
  • Модем GSM для ноутбука, если нет никакой беспроводной сети. Я не знаю, сколько раз это сохранило наш проект, как я имел к VPN назад к офисной сети, управление версиями доступа respository, перекомпилируйте код и запустите некоторые тесты, затем разверните свежую новую сборку на серверы.
7
задан 13 April 2017 в 15:14
3 ответа

Я не уверен, что Вы попытались сделать прежде, но вот то, что я просто сделал и имел успех:

1) Загруженный Tomcat 5.5.27 установщиков службы Windows и установленный это.

2) Выведенный сервисный дескриптор безопасности TomCat5 с помощью "кв/см sdshow tomcat5", который показал мне:

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)

Это - дескриптор довольно коллективной безопасности для сервисов. Я видел его дословно на некоторых услугах Microsoft. У СИСТЕМЫ и встроенных Администраторов есть "полный контроль", "Продвинутые пользователи" могут остановиться, запуститься и приостановить сервис, и "Аутентифицируемые Пользователи" могут запросить свойства сервиса (я заминаю немного здесь).

3) Я создал ограниченного пользователя, названного "бобом" на моем поле, открыл командную строку "RUNAS" как он и получил его SID от "WHOAMI / ВСЕ" (команда, это находится на Windows Server 2003, но не на XP... не знают о Vista и Windows 7 первое, что пришло на ум). Я проверил, что Bob не мог остановиться / запускаются, сервис Tomcat (использующий "СЕТЬ ОСТАНАВЛИВАЮТ tomcat5"). Я получил ту же ошибку, о которой Вы сообщаете в своем сообщении.

4) От моей регулярной командной строки администратора, выполнил следующее:

sc sdset tomcat5 D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;RPWPDT;;;S-1-5-21-1409082233-484763869-854245398-1009)

Эта строка SDDL дает SID Bob's (S-1-5-21-1409082233-484763869-854245398-1009) права остановить, запустить и приостановить сервис (RP, WP и DT, соответственно).

5) Я зеркально отразил назад к моей командной строке "Bob" и проверил, что мог теперь остановить и запустить сервис с помощью СЕТЕВОЙ ОСТАНОВКИ и СЕТЕВОГО ЗАПУСКА.

Я рекомендовал бы создать группу к delegte это право на, поместив пользователя в ту группу, получив SID группы (использующий WHOAMI или любой другой инструмент) и изменяющий дескриптор безопасности этот путь.

Я думал бы, что использование Групповой политики для изменения дескриптора безопасности будет хорошо работать. Я видел случаи, где некоторым сервисам не нравится разрешение по умолчанию, что основанная на групповой политике модификация ставит сервис (посмотрите на эту регистрацию о Windows Search service, если Вы хотите видеть то, о чем я говорю: http://peeved.org/blog/2007/12/07), но это было редко, по моему опыту.

Если Вы хотите больше фона на дескрипторах безопасности для сервисов, взглянули на http://msmvps.com/blogs/alunj/archive/2006/02/13/83472.aspx и http://support.microsoft.com/kb/914392.

7
ответ дан 2 December 2019 в 23:37
  • 1
    Если у меня есть 100 сервисов контейнера Tomcat, я должен дать это разрешение явно на группе для каждого сервиса? Существует ли способ разбудить ДОМЕННЫЙ набор группы, чтобы иметь разрешение остановиться/начать 100 различных сервисов Tomcat через 15 машин? –  Instantsoup 2 June 2009 в 22:46
  • 2
    You' ре, оказывающееся перед необходимостью устанавливать это на всех 100 сервисных экземплярах, но можно определенно написать сценарий этого. Абсолютно можно назвать домен group' s SID в дескрипторе безопасности. Это на самом деле звучит довольно легким, с тех пор you' ре говоря единственная группа и таким образом единственный дескриптор безопасности, который будет установлен на всех 100 сервисах. Самая твердая часть будет зданием что список 100 сервисов первоначально. Надо надеяться, у Вас уже есть все их имена в файле где-нибудь. Необходимо смочь выполнить итерации через тот список однажды you' ve получил протестированный и рабочий дескриптор безопасности. Иметь смысл? –  Evan Anderson 2 June 2009 в 23:11
  • 3
    На самом деле, w/100 сервисов, чтобы сделать, it' s, вероятно, легче написать сценарий " кв/см sdset" команда, чем он должна была бы сделать это с групповой политикой. Можно запустить тот же скрипт на всех 15 машинах и любые сервисы это don' t существуют на данной машине, будет просто проигнорирован. Можно иметь в наличии сценарий и работать, он на новых машинах / добавляет новые сервисы к нему / и т.д. –  Evan Anderson 2 June 2009 в 23:12
  • 4
    Так there' s никакая точка входа для создания всех сервисов подобными, таким образом, мы можем предоставить полномочия пользователя на всех них широкий домен. Неприятность. I' ll принимают этот ответ за несколько дней, если кто-то не может сделать меня более счастливым! –  Instantsoup 3 June 2009 в 00:35
  • 5
    I' m не уверенный, что Вы подразумеваете под " запись point". каждый сервис имеет свой собственный дескриптор безопасности. Они не делают " inherit" от любого вида " parent" дескриптор безопасности. Microsoft просто didn' t проектируют его тот путь. Можно сделать пользователя членом " Питание Users" или " Administrators" и they' ll имеют права остановиться / запускают большую часть любого сервиса (включая Ваши экземпляры Tomcat) потому что дескриптор безопасности по умолчанию для каждого сервиса I' ve когда-либо замеченные имена " Питание Users" и " Administrators". –  Evan Anderson 3 June 2009 в 02:06

Вы могли настроить задание Windows Scheduler для выполнения команды. Задание планировщика может быть настроено для выполнения команды под учетными данными некоторого другого пользователя. Можно затем установить безопасность на задании так, чтобы только определенная группа пользователей могла выполнить его.

Вам будут нужны права администратора для создания запланированной задачи, но можно затем дать другим людям права выполнить ее. Даже при том, что это - запланированная задача, можно установить его так, чтобы это только работало по требованию.

Например, скажем, Вы создаете задание (откройте Control Panel> Scheduled Tasks, затем щелкните правой кнопкой и выберите New> Запланированная задача), названный: StartTomcat

Перейдите к вкладке "Task".

Установите "Выполнение", и "Запускаются в" значениях к командной строке, которая запускает Tomcat. Также Набор "Выполненный Как" строка, чтобы быть пользователем этому позволяют запустить и остановить Tomcat и нажать кнопку "Set password..." для обеспечения пароля пользователя. Наконец, удалите проверку из поля Enabled, так как Вы только хотите выполнить задание по требованию.

Затем перейдите к вкладке "Security".
Добавьте людей, Вы хотите позволить выполнять задачу, и предоставлять им только "Чтение и Выполнять" полномочия на задаче.

Наконец, создайте пакетный файл для выполнения задачи. Пакетный файл будет содержать строку:

  schtasks / выполненный/tn StartTomcat

Положите пакетный файл на место, это доступно для пользователей, которые должны выполнить его. Могло бы даже быть возможно поместить пакетный файл на отдельную машину, но Вам будут нужны некоторые дополнительные параметры к schtasks строке. Можно искать те параметры в Windows Help.

1
ответ дан 2 December 2019 в 23:37
  • 1
    i' ve не протестировал это, но он походит на самое чистое решение. –  Ian Boyd 2 June 2009 в 23:31
  • 2
    " Cleanest"? Phhh... that' s глупый. В плакате говорится he' s заставил 100 экземпляров запускаться / остановка, таким образом, этот метод подразумевает 100 " Запланированный Tasks" быть созданным. Просто изменение дескрипторов безопасности на сервисах позволит делегированным пользователям использовать стандартные инструменты управления службой Windows для остановки / запускают сервисы. Что могло быть " cleaner" чем это? Это - изворотливый взлом. –  Evan Anderson 3 June 2009 в 00:15

Необходимо узнать то, что делает эти сервисы Tomcat столь особенными, что нормальные методы для управления ими в Windows не работают. Как они не работают? Это - просто проблема Доступа запрещен? Если так, ProcMon был бы очень полезен для выяснения конкретно, где доступ должен быть предоставлен.

0
ответ дан 2 December 2019 в 23:37

Теги

Похожие вопросы