Etki alanı üyesi olmayan bir sunucudaki rasgele bir kullanıcıya veya gruba bir hizmette başlatma / durdurma / yeniden başlatma izinlerini nasıl verebilirim?

Sunucularımızda çalışan ve diğer hizmetlere bakan bir servis haricinde, birbirinden bağımsız olarak bir sürü otomatik görev yapan bir Windows Servisleri paketi bulunmaktadır.

Hizmetlerden birinin yanıt vermemesi veya askıda kalmaması durumunda, bu hizmet hizmeti yeniden başlatmaya çalışır ve deneme sırasında bir istisna atılırsa, bunun yerine destek ekibine e-posta göndererek hizmeti kendileri başlatabilir.

Küçük bir araştırma yaptıktan sonra, KB907460'ta bahsedilen geçici çözümden , hizmetin yönetici haklarının altında çalıştığı hesaba hizmet vermeye kadar değişen birkaç 'çözüm' ile karşılaştım .

Bu yöntemlerden hiçbiriyle rahat değilim - Microsoft'un bilgi bankası makalesinde açıklanan ilk yöntemin sonuçlarını anlamıyorum, ancak kesinlikle hizmetin çalıştığı hesaba yönetici erişimi vermek istemiyorum .

Yerel Güvenlik Politikası'na ve bir hesabın hizmet olarak oturum açıp açamayacağını tanımlayan politika dışında hızlıca bir göz attım, hizmete gönderme yapan başka bir şey göremiyorum.

Bunu Server 2003 ve Server 2008'de çalıştırıyoruz, bu nedenle herhangi bir fikir veya işaretçi nezaketle alınacaktır!

Açıklama: Belirli bir kullanıcıya veya gruba TÜM hizmetleri başlatma / durdurma / yeniden başlatma yeteneği vermek istemiyorum - Bunu yalnızca belirli hizmetlerde belirli bir kullanıcıya veya gruba yapma izni vermek istiyorum .

Daha Fazla Açıklama: Bu izinleri vermem gereken sunucular bir etki alanına ait değil - iki tane web sitesine bakan, dosyaları alan, işleyen ve üçüncü taraflara gönderen, aynı zamanda birkaç web sitesine hizmet veren sunuculardır. Active Directory Grup İlkesi mümkün değil. Üzgünüm, bunu netleştiremediğim için.

Bir etki alanına dahil olmadıkça, en azından herhangi bir yerde bulabileceğim bir tane olmadıkça, bunu yapmanın GUI tabanlı bir yolu görünmüyor, bu yüzden biraz daha kazı yaptım ve bunun için çalışan bir cevap buldum. görevimiz.

Bilgi temeli makalesinde string gösteriminin ne anlama geldiğini anlamadım, ancak biraz kazı yapmak beni SDDL'nin sözdizimi olduğunu keşfetmeye yönlendirdi. Daha fazla kazmak beni bir servis için güvenlik tanımlayıcısını ve her bir bitin ne anlama geldiğini açıklayan Alun Jones tarafından yazılmıştı . MS KB914392 daha fazla ayrıntı içermektedir.

Servisin mevcut güvenlik tanımlayıcısına eklemek için sc sdshow "Service Name"mevcut tanımlayıcıyı almak için kullanın . Bu düz eski bir .NET Windows Hizmeti ise - bizimki gibi - güvenlik tanımlayıcısı şöyle görünmelidir:

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOC
RRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)S:(AU;FA
;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

İzin vermemiz RP(hizmeti başlatmak için), WP(hizmeti durdurmak için), DT( hizmeti duraklatmak / sürdürmek için) ve LO(hizmetin mevcut durumunu sorgulamak için) vermemiz gerekiyordu. Bu, hizmet hesabımızı Power Users grubuna ekleyerek yapılabilir, ancak yalnızca bakım hizmetinin çalıştığı hesaba bireysel olarak erişim vermek istiyorum.

Kullanılması runashizmet hesabı altında bir komut istemi açmak için, Koştum whoami /allbana hizmet hesabının SID verdi ve ardından aşağıdaki ek sddl inşa hangi:

(A;;RPWPDTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)

Bu daha sonra yukarıdaki SDDL dizesinin D: bölümüne eklenir :

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOC
RRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;RPWP
DTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)S:(AU;FA;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;WD)

Bu daha sonra aşağıdaki sc sdsetkomutu kullanarak servise uygulanır :

sc sdset "Service Name" D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;
CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU
)(A;;RPWPDTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)S:(AU;FA;CCDCLCSW
RPWPDTLOCRSDRCWDWO;;;WD)

Her şey plana göre giderse, hizmet başlatılabilir, durdurulabilir, duraklatılabilir ve durumunun yukarıdaki SID tarafından tanımlanan kullanıcı tarafından sorgulanması sağlanabilir.

Ben de aynı sorunu yaşadım.
Sen kullanabilirsiniz SubInACL.exe Kaynak Seti. Bağımsız yardımcı programı buradan indirin: http://www.microsoft.com/download/tr/details.aspx?displaylang=tr&id=23510

msiexec /a PathToMSIFile /qb TARGETDIR=DirectoryToExtractTo.Msi'yi yüklemek istemiyorsanız dosyaları ayıklamak için kullanın .

1. Yönetici olarak bir komut istemi açın
2. .Exe'yi yerleştirdiğiniz dizine gidin
3. Çalıştırmak subinacl /service SERVICE_NAME /grant=COMPUTER_NAME\USERNAME=TOP

T = Servisi başlat
O = Servisi durdur
P = Servisi durdur / devam ettir

Tam başvuru: Kullanıcılara Windows 2000
veya türündeki hizmetleri yönetme hakları nasıl verilir?subinacl /help

Not:subinacl /service SERVICE_NAME /perm Başınızı belaya sokabileceği için deneme yapmayın (çıkarılan ders: P). Bu ad yanıltıcı olabilir (perm! = İzin), çünkü tüm izinleri tüm kullanıcılara siler (hatta Yönetici!).

Aradığınız Bilgisayar Yapılandırması - Politikaları - Windows Ayarları - Güvenlik Ayarları - Sistem Hizmetleri

Orada yalnızca hizmet başlangıç ​​türünü tanımlayamazsınız, aynı zamanda her hizmet için güvenlik ACL'lerini de yapılandırabilirsiniz. Varsayılan olarak, arayüz yalnızca GP Editor'ı çalıştırdığınız makineye kurulu hizmetleri listeler.

Yalnızca başka bir bilgisayarda bulunan hizmetleri eklemek için:

• servisin reg anahtarını diğer makineden dışa aktarın
• gpedit makinesinde ithalat
• politikayı uygula
• alınan anahtarı sil

SubinAcl'i (patrx tarafından önerildiği gibi) MySQL'i normal bir etki alanı kullanıcısı olarak başlatabilmek için kullandım (yönetici değil). (ancak komutun en azından yerel bir yönetici olarak yürütülmesi gerekir)

Komut:

[PATH_TO_SUBACL]\subinacl.exe /service MySQL /grant=[Domain User - Without domain]=TOP

Sadece, etki alanı ile önek olmadan kullanıcıya girdiğimi unutmayın ... aksi halde komut ayrıştırma komutunda başarısız olur!