Redni uporabniki, ki nimajo pravic sistemskega skrbnika, privzeto ne morejo upravljati storitev sistema Windows (in večine aplikacij). To pomeni, da se ne morejo ustaviti, zagnati (znova zagnati), spremeniti nastavitev in dovoljenj takšnih storitev. V nekaterih primerih je še vedno potrebno, da ima uporabnik pravice za zagon in upravljanje določenih storitev. V tem članku vas bomo seznanili z več načini upravljanja pravic za storitve Windows. Zlasti bomo pokazali, kako lahko navadnemu uporabniku, brez pravic skrbnika Windows, zagotovimo pravico do zagona, zaustavitve in ponovnega zagona določene storitve.
Recimo, da moramo zagotoviti domenski račun kontoso\ tuser pravice za ponovni zagon tiskalne storitve (Print Spooler) z imenom sistema Spoler.
V sistemu Windows ni enostavnega in priročnega vgrajenega orodja za upravljanje dovoljenj za storitve. Upoštevali bomo več načinov za dodelitev uporabniških pravic do storitve:
Vsebina:
- Vgrajen pripomoček SC.exe (servisni regulator)
- SubInACL: Dodelite storitvene pravice z uporabo Sysinternals
- Raziskovalec procesov: Nastavitev dovoljenj za storitve
- Varnostna predloga
- Upravljanje pravic s storitvami prek skupinskih politik
- Dodelite servisna dovoljenja s programom PowerShell
Kateri je lažji in bolj priročen, je odvisno od vas..
Vgrajen pripomoček SC.exe (servisni regulator)
Standardna, vgrajena metoda Windows za upravljanje pravic do sistemskih storitev vključuje uporabo pripomočka sc.exe (Service Controller).
Opomba. Primer uporabe sc.exe za ročno odstranitev storitve v operacijskem sistemu Windows.Glavna težava je besna sintaksa formata za dodelitev pravic do storitve (oblika SDDL).
Trenutne pravice do storitve lahko dobite takole:
sc.exe sdshow Spooler
D: (A;; CCLCSWLOCRRC;;; AU) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA) (A;; CCLCSWRPWPDTLOCRRC;;; SY) S: (AU; FA; CCDCLCSWRPWPDTDOCL
Kaj pomenijo vsi ti simboli??
S: - Seznam nadzor dostopa do sistema (SACL)D: - Diskrecijski ACL (DACL)
Prva črka za oklepajem pomeni: dovoliti (A, dovoliti) ali zavrniti (D, zanikati).
Naslednji kup znakov - dodeljene pravice.
CC - SERVICE_QUERY_CONFIG (zahteva za nastavitve storitev)
LC - SERVICE_QUERY_STATUS (anketa o statusu storitve)
SW - SERVICE_ENUMERATE_DEPENDENTS (anketa o odvisnosti)
LO - SERVICE_INTERROGATE
CR - SERVICE_USER_DEFINED_CONTROL
RC - READ_CONTROL
RP - SERVICE_START (začetek storitve)
WP - SERVICE_STOP (zaustavitev storitve)
DT - SERVICE_PAUSE_CONTINUE (zaustavitev, nadaljevanje storitve)
Zadnji dve črki, predmeti (skupina uporabnikov ali SID), do katerih so pravice dodeljene. Obstaja seznam vnaprej določenih skupin.
AU overjeni uporabnikiOperaterji AO računov
RU Alias dovoli prejšnji Windows 2000
Anonimna prijava
AU Potrjeni uporabniki
BA Vgrajeni skrbniki
BG Vgrajeni gostje
Bo rezervni operaterji
BU Vgrajeni uporabniki
Skrbniki strežnikov certifikatov CA
CG Skupina ustvarjalcev
CO Lastnik ustvarjalca
Administratorji domen DA
Računalniki z domeno DC
DD Krmilniki domen
Gosti DG Domain
Uporabniki DU Domene
Skrbniki EA Enterprise
Krmilniki domen ED Enterprise
Wd vsi
Skrbniki pravilnikov skupin PA
IU Interaktivno prijavljen uporabnik
Lokalni skrbnik LA
LG Local gost
Račun za lokalno storitev LS
SY lokalni sistem
Uporabnik za prijavo v omrežje NU
NE operaterji za konfiguracijo omrežja
Račun storitve NS Network
Operaterji tiskalnikov PO
PS Osebni jaz
Uporabniki električne energije PU
Skupina strežnikov RS RAS
Uporabniki strežnikov RD Terminal
RE replikator
RC omejena koda
Skrbniki sheme SA
SO operaterji strežnikov
Uporabnik prijave v SU servis
Namesto vnaprej določene skupine lahko uporabnika ali skupino izrecno določite po SID-u. Uporabniški SID za trenutnega uporabnika lahko dobite z ukazom:
whoami / uporabnik
ali za vsakega uporabnika domene, ki uporablja ukazni program PowerShell Get-ADUser:
Get-ADUser -Identity 'iipeshkov' | izberite SID
Na primer, pravice za uporabnika storitve tuljave lahko dodelite z naslednjim ukazom:
sc sdset Spooler "D: (A; CCLCSWRPWPDTLOCRRC;;; SY) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA) (A;; CCLCSWLOCRRC;; IU;; A;; CCLCSWLOCRRC; RPWPCR ;;; S-1-5-21-2133228432-2794320136-1823075350-1000) S: (AU; FA; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD) "
SubInACL: Dodelite storitvene pravice z uporabo Sysinternals
Veliko lažje je uporabljati pripomoček za konzolo. Subinacl iz zbirke Sysinternals Marka Russinoviča (za katero ima Microsoft zdaj lastnik pravic pri avtorju). Sintaksa tega pripomočka je veliko enostavnejša in bolj priročna za dojemanje. Kako dodeliti pravice za ponovno zagon storitve s programom SubInACL:
- Prenos msi s strani (https://www.microsoft.com/en-us/download/details.aspx?id=23510) in jo namestite v ciljni sistem.
- V ukaznem pozivu s skrbniškimi pravicami pojdite v imenik s pripomočkom:
cd "C: \ programske datoteke (x86) \ kompleti virov Windows \ Tools \)” - Zaženite ukaz:
subinacl.exe / service Spooler / grant = contoso \ tuser = PTO
Opomba. V tem primeru smo dali uporabniku pravico, da ustavi (Začasno ustavi / nadaljuje), zažene (Start) in ustavi (ustavi) storitev. Na voljo je celoten seznam dovoljenj:F: Popoln nadzor
R: Splošno branje
W: Splošno pisanje
X: Splošni eXecute
L: Preberite kontrolo
V: Konfiguracija storitve poizvedbe
S: Stanje storitve poizvedbe
E: Naštejte odvisne storitve
C: Konfiguracija spremembe storitve
T: Zagon storitve
O: Ustavite servis
P: Premor / nadaljevanje storitve
I: zasliševalna služba
U: Uporabniški servisni kontrolni ukaziČe morate dodeliti pravice storitvi, ki deluje na oddaljenem računalniku, bo sintaksa naslednja:
subinacl / SERVICE \\ msk-buh01 \ spooler / grant = contoso \ tuser = F - Še vedno se prijavite v ta sistem pod uporabniškim računom in poskusite znova uvesti storitev z ukazi:
net stop spooler
neto zagonski puler
Opomba. V tem primeru smo dali uporabniku pravico, da ustavi (Začasno ustavi / nadaljuje), zažene (Start) in ustavi (ustavi) storitev. Na voljo je celoten seznam dovoljenj:Če ste naredili vse pravilno, bi se morala storitev ustaviti in znova zagnati.
Raziskovalec procesov: nastavitev dovoljenj za storitve
Preprosto spremenite dovoljenja za storitev s pomočjo drugega pripomočka Sysinternals - Proces Raziskovalec. Zaženite Process Explorer s skrbniškimi pravicami in poiščite postopek storitve, ki jo potrebujete, na seznamu procesov. V našem primeru je to spoolsv.exe (tiskalni roler je C: \ Windows \ System32 \ spoolsv.exe). Odprite lastnosti postopka in pojdite na zavihek Storitve.
Kliknite gumb Dovoljenja in v oknu, ki se odpre, dodajte uporabnika ali skupino, ki ji morate dodeliti pravice do storitve in ravni pooblastil..
Varnostna predloga
Bolj vizualni (vendar zahteva tudi več dejanj) grafični način upravljanja pravic do storitev je z uporabo varnostnih predlog. Za izvedbo odprite konzolo mmc.exe in dodamo snap Varnost Predloge.
Ustvari novo predlogo (Nova predloga).
Poimenujte novo predlogo in pojdite na Sistem Storitve. Na seznamu storitev izberite storitev Spoler tiskanja in odprite njegove lastnosti.
Nastavite vrsto zagona (Samodejno) in pritisnite gumb Uredi varnost.
S pomočjo gumba Dodaj Dodajte račun uporabnika ali skupine, ki ji želite dodeliti pravice. V našem primeru imamo dovolj pravice Začni, Nehaj in premor.
Shrani predlogo (Shrani).
Če odprete to datoteko, lahko vidite, da so podatki o pravicah dostopa shranjeni v prej omenjeni obliki SDDL. Tako dobljeni niz lahko uporabimo kot argumente ukaza sc.exe..
[Unicode] Unicode = da [Različica] podpis = "$ CHICAGO $" Revizija = 1 [Splošna nastavitev storitve] "Spooler", 2, "D: AR (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY) (A;; CCDCLCSWRPWPDTLOCODRWW ;; BA) (A; CCLCSWLOCRRC;; IU) (A; RPWPDTRC;; S-1-5-21-3243688314-1354026805-3292651841-1127) S: (AU; FA; CCDCLCSWRPWPDTLOCRSDRCWDWO ;; ) "
Levo s snap Varnostna konfiguracija in analiza ustvarite novo bazo podatkov (Open Database) in uvozite našo varnostno predlogo iz datoteke Pravice uporabnikov spoolerja.inf.
Predlogo uporabimo tako, da ukaz pokličemo iz kontekstnega menija Konfigurirajte Računalnik Zdaj.
Zdaj lahko kot uporabnik preverite, ali ima pravice za upravljanje storitve Print Spooler.
Upravljanje pravic s storitvami prek skupinskih politik
Če morate uporabnikom omogočiti pravico, da takoj začnejo / ustavijo storitev na številnih strežnikih ali domenskih računalnikih, je najlažji način uporabe zmogljivosti skupinskih politik (GPO).
- Ustvarite novo ali uredite obstoječi GPO, ga dodelite potrebnemu vsebniku z računalniki v Active Directoryu. Pojdite na razdelek s pravilniki Konfiguracija računalnika -> Nastavitve sistema Windows -> Varnostne nastavitve -> Sistemske storitve.
- Poiščite storitev Spooler in uporabniku dodelite pravice, podobno kot prej obravnavana metodologija. Spremembe shranite.Opomba. Prej smo pokazali, kako lahko s podobnim GPO skrijete katero koli storitev Windows pred vsemi uporabniki sistema.
- Ostaja še počakati na uporabo pravilnikov na odjemalcih in preveriti uporabo nastavitev pravic za storitve.
Dodelite servisna dovoljenja s programom PowerShell
TechNet Gallery ima ločen neuradni modul PowerShell za upravljanje dovoljenj za različne Windows sisteme - PowerShellAccessControl Module (prenesete ga lahko tukaj). Ta modul mu omogoča upravljanje pravic za storitve. Uvoz modula v vašo sejo:
Uvozni modul PowerShellAccessControl
Učinkovita dovoljenja za določeno storitev od PowerShell lahko pridobite takole:
Spooler za Get-Service | Get-EffectiveAccess - Principal corp \ tuser
Da bi običajnemu uporabniku podelili pravico za zagon in ustavitev storitve, storite:
Spooler za Get-Service | Add-AccessControlEntry -ServiceAccessRights Start, Stop -Principal corp \ tuser
Torej, preučili smo več načinov upravljanja pravic do storitev Windows, kar vam omogoča, da vsakemu uporabniku zagotovite kakršne koli pravice do sistemskih storitev. Če uporabnik zahteva oddaljeni dostop do storitve, ne da bi mu podelil lokalne pravice za prijavo, morate uporabniku omogočiti daljinsko anketo Service Control Manager.
