Für bestimmte User ohne Adminrechte zu berechtigen, dass diese Serverice Stoppen und Starten können, kann dies mit dem subinacl gemacht werden.
Wichtig die Version 4, 0, 1, 1604 ist buggy und setzt die ACL nicht!
Mit Version 5.2.3790.1180 http://www.microsoft.com/downloads/details.aspx?familyid=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en hatte ich bis jetzt keine Probleme.
Folgender Syntax gilt für die Service Berechtigung.
SUBINACL /SERVICE \\MachineName\ServiceName /GRANT=[DomainName\]UserName[=Access]
z.B.
SUBINACL /SERVICE "\\MyServer\SNMP Service" /GRANT=MyServer\Users=F
Wenn der Servicename ein Space hat muss dieser in "" gesetzt werden
Für Access gilt:
F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service
U : Service User-Defined Control Commands
Ab Service Pack 1 von Windows Server 2003 muss für den Remotezugriff noch die Berechtigung für den Service Manager gesetzt werden.
sc sdset SCMANAGER D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
Mit diesem Befehl wird die Berechtigung des Authenticated users verändert.
Zum restore des SCMANAGER
sc sdset SCMANAGER D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
Mittwoch, 5. Dezember 2007
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen