Mittwoch, 5. Dezember 2007

Windows Service Berechtigung setzten

Für bestimmte User ohne Adminrechte zu berechtigen, dass diese Serverice Stoppen und Starten können, kann dies mit dem subinacl gemacht werden.
Wichtig die Version 4, 0, 1, 1604 ist buggy und setzt die ACL nicht!
Mit Version 5.2.3790.1180 http://www.microsoft.com/downloads/details.aspx?familyid=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en hatte ich bis jetzt keine Probleme.

Folgender Syntax gilt für die Service Berechtigung.
SUBINACL /SERVICE \\MachineName\ServiceName /GRANT=[DomainName\]UserName[=Access]
z.B.
SUBINACL /SERVICE "\\MyServer\SNMP Service" /GRANT=MyServer\Users=F

Wenn der Servicename ein Space hat muss dieser in "" gesetzt werden

Für Access gilt:
F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service
U : Service User-Defined Control Commands

Ab Service Pack 1 von Windows Server 2003 muss für den Remotezugriff noch die Berechtigung für den Service Manager gesetzt werden.

sc sdset SCMANAGER D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Mit diesem Befehl wird die Berechtigung des Authenticated users verändert.

Zum restore des SCMANAGER
sc sdset SCMANAGER D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Keine Kommentare: