Како одобрити обичним корисницима права на покретање / заустављање услуга у Виндовс-у

Подразумевано, редовни корисници који немају права администратора система не могу управљати услугама Виндовс система (и већине апликација). То значи да се не могу зауставити, покренути (поново покренути), променити подешавања и дозволе таквих услуга. У неким случајевима је још увек потребно да корисник има права на поновно покретање и управљање одређеним услугама. У овом чланку ћемо вас провести кроз неколико начина управљања правима за Виндовс услуге. Конкретно, показаћемо како да обичном кориснику, без права Виндовс администратора, пружимо право на покретање, заустављање и поновно покретање одређене услуге.

Претпоставимо да морамо да обезбедимо налог за домену цонтосо\ тусер права на поновно покретање услуге штампања (Принт Споолер) са системским називом Сполер.

Не постоји једноставан и практичан уграђени алат за управљање дозволама за сервис у Виндовс-у. Размотрићемо неколико начина давања корисничких права на услугу:

Садржај:

  • Уграђени услужни програм СЦ.еке (сервисни контролер)
  • СубИнАЦЛ: Доделите сервисна права користећи Сисинтерналс
  • Процес Екплорер: Подешавање дозвола за услугу
  • Сигурносни образац
  • Управљање правима услуга путем групних политика
  • Доделите сервисна дозвола користећи ПоверСхелл

Који је лакши и погоднији зависи од вас..

Уграђени услужни програм СЦ.еке (сервисни контролер)

Стандардни, уграђени Виндовс метод управљања правима на системске услуге укључује употребу услужног програма сц.еке (Сервисни контролер).

Напомена. Пример коришћења сц.еке за ручно уклањање услуге у Виндовс-у.

Главни проблем је бесна синтакса формата за одобравање права на услугу (СДДЛ формат).

Можете добити тренутна права на услугу као што је ова:

сц.еке сдсхов Споолер

Д: (А;; ЦЦЛЦСВЛОЦРРЦ ;;; АУ) (А;; ЦЦДЦЛЦСВРПВПДТЛОЦРСДРЦВДВО;;; БА) (А;; ЦЦЛЦСВРПВПДТЛОЦРРЦ ;;; СИ) С: (АУ; ФА; ЦЦДЦЛЦСВРПВПДТДОЦЛ

Шта значе сви ови симболи??

С: - Листа за контролу приступа систему (САЦЛ)
Д: - Дискрециони АЦЛ (ДАЦЛ)

Прво слово након заграда значи: дозволити (А, дозволити) или одбити (Д, забранити).

Следећа гомила ликова - права која се могу приписати.
ЦЦ - СЕРВИЦЕ_КУЕРИ_ЦОНФИГ (захтев за подешавања услуге)
ЛЦ - СЕРВИЦЕ_КУЕРИ_СТАТУС (испитивање статуса услуге)
СВ - СЕРВИЦЕ_ЕНУМЕРАТЕ_ДЕПЕНДЕНТС (истраживање зависности)
ЛО - СЕРВИЦЕ_ИНТЕРРОГАТЕ
ЦР - СЕРВИЦЕ_УСЕР_ДЕФИНЕД_ЦОНТРОЛ
РЦ - РЕАД_ЦОНТРОЛ
РП - СЕРВИЦЕ_СТАРТ (почетак услуге)
ВП - СЕРВИЦЕ_СТОП (заустављање услуге)
ДТ - СЕРВИЦЕ_ПАУСЕ_ЦОНТИНУЕ (суспензија, наставак услуге)

Последња 2 слова, објекти (група корисника или СИД) на која су права додељена. Постоји листа унапред дефинисаних група.

АУ Аутентификовани корисници

Оператори АО рачуна
РУ Алиас ће дозволити претходни Виндовс 2000
АНнонимно пријављивање
АУ Аутентични корисници
БА Уграђени администратори
БГ Уграђени гости
Бо резервни оператори
БУ уграђени корисници
Администратори сервера ЦА сертификата
ЦГ група аутора
Власник ЦО Цреатор-а
Администратори домена ДА
Рачунари са ДЦ доменом
ДД контролери домена
Гости ДГ Домаин-а
Корисници ДУ домена
ЕА Ентерприсе администратори
ЕД Ентерприсе контролери
Вд свима
Администратори полиса ПА групе
ИУ Интерактивно пријављен корисник
ЛА Локални администратор
ЛГ Лоцал гост
ЛС налог локалног сервиса
СИ локални систем
Корисник за пријаву на НУ мрежу
НО Оператор конфигурације мреже
Налог за услугу НС мреже
ПО штампачи
ПС Лично ја
Корисници ПУ напајања
РС РАС група сервера
Корисници сервера РД Терминала
РЕ Реплицатор
РЦ Ограничени код
Администратори СА шеме
СО сервери оператора
Корисник за пријаву на СУ сервисе

Уместо унапред дефинисане групе, можете експлицитно да одредите корисника или групу по СИД-у. Кориснички СИД за тренутног корисника можете добити помоћу наредбе:

вхоами / корисник

или за било ког корисника домена који користи ПоверСхелл цмдлет Гет-АДУсер:

Гет-АДУсер -Идентити 'иипесхков' | одаберите СИД

На пример, права кориснику за услугу споолера могу се доделити следећом наредбом:

сц сдсет Споолер "Д: (А;; ЦЦЛЦСВРПВПДТЛОЦРРЦ ;;; СИ) (А;; ЦЦДЦЛЦСВРПВПДТЛОЦРСДРЦВДВО;;; БА) (А;; ЦЦЛЦСВЛОЦРРЦ;;; ИУ); (;;; ЦЦЛЦСВЛОЦРРЦ; РПВПЦР ;;; С-1-5-21-2133228432-2794320136-1823075350-1000) С: (АУ; ФА; ЦЦДЦЛЦСВРПВПДТЛОЦРСДРЦВДВО ;;; ВД) "

СубИнАЦЛ: Доделите сервисна права користећи Сисинтерналс

Много је лакше користити услужни програм конзоле. Субинацл из пакета Сисинтерналс Марка Руссиновицх-а (на који Мицрософт сада има право над аутором). Синтакса овог услужног програма је много једноставнија и погоднија за перцепцију. Како одобрити права на поновно покретање услуге помоћу СубИнАЦЛ:

  1. Преузми мси са странице (хттпс://ввв.мицрософт.цом/ен-ус/довнлоад/детаилс.аспк?ид=23510) и инсталирајте је на циљни систем.
  2. У командној линији са правима администратора идите у директориј са услужним програмом: цд "Ц: \ Програм Филес (к86) \ Виндовс Ресоурце Китс \ Тоолс \)
  3. Покрените команду: субинацл.еке / сервис Споолер / грант = цонтосо \ тусер = ПТО Напомена. У овом случају, кориснику смо дали право да обустави (Паузира / настави), покрене (Старт) и заустави (заустави) услугу. Доступна је пуна листа дозвола:Ф: Потпуна контрола
    Р: Опште читање
    В: Генеричко писање
    Кс: Генерички еКсецуте
    Л: Прочитајте контролу
    П: Конфигурација услуге упита
    С: Статус услуге упита
    Е: Набројите зависне услуге
    Ц: Конфигурација промене услуге
    Т: Покретање услуге
    О: Зауставите сервис
    П: Пауза / наставак услуге
    Ја: Испитивање
    У: Контролне команде које су дефинисали корисници

    Ако требате да доделите права услузи која ради на удаљеном рачунару, синтакса ће бити следећа:
    субинацл / СЕРВИЦЕ \\ мск-бух01 \ споолер / грант = цонтосо \ тусер = Ф

  4. Остаје да се пријавите у овај систем под корисничким налогом и покушате поново покренути услугу наредбама:
    нето зауставни спојлер
    нето стартни споолер

Ако сте учинили све како треба, услуга би се требала зауставити и поново покренути.

Процес Екплорер: Подешавање дозвола за услугу

Једноставно промените дозволе за услугу помоћу другог услужног програма Сисинтерналс - Процес Екплорер. Покрените Екплорер Екплорер са привилегијама администратора и пронађите поступак услуге која вам је потребна на листи процеса. У нашем примеру ово је споолсв.еке (спилер за штампање је Ц: \ Виндовс \ Систем32 \ споолсв.еке). Отворите својства процеса и идите на картицу Услуге.

Кликните на дугме Дозволе и у прозору који се отвори додајте корисника или групу којој требате да доделите права на услугу и ниво овлашћења.

Сигурносни образац

Визуелнији (али захтева и више радњи) графички начин управљања правима на услуге је коришћење безбедносних образаца. Да бисте га имплементирали, отворите конзолу ммц.еке и додајте пуцкање Сигурност Предлошци.

Креирајте нови предложак (Нови предложак).

Дајте назив новом предлошку и идите на Систем Услуге. На листи услуга изаберите своју услугу Штампач сполера и отворити своја својства.

Подесите тип покретања (Аутоматски) и притисните дугме Уреди безбедност.

Употребом дугмета Додај Додајте налог корисника или групе на коју желите да доделите права. У нашем случају имамо довољно права Старт, Стани и пауза.

Сачувај предложак (Сачувај).

Напомена. Садржај сигурносног предлошка се чува у инф датотеци у директоријуму Ц: \ Корисници \ корисничко име \ Документи \ Безбедност \ Предлошци

Ако отворите ову датотеку, можете видети да су подаци о правима приступа сачувани у претходно поменутом СДДЛ формату. Тако добијен низ може се користити као аргумент за наредбу сц.еке..

[Уницоде] Уницоде = да [Верзија] потпис = "$ ЦХИЦАГО $" Ревизија = 1 [Опште подешавање услуге] "Споолер", 2, "Д: АР (А;; ЦЦДЦЛЦСВРПВПДТЛОЦРСДРЦВДВО;;; СИ) (А;; ЦЦДЦЛЦСВРПВПДТЛОЦОДРВВ ;; БА) (А;; ЦЦЛЦСВЛОЦРРЦ ;;; ИУ) (А; РПВПДТРЦ;;; С-1-5-21-3243688314-1354026805-3292651841-1127) С: (АУ; ФА; ЦЦДЦЛЦСВРПВПДТЛОЦРСДРЦВДВО ;; ) "

Лево са шкљоцањем Сигурносна конфигурација и анализа створите нову базу података (Опен Датабасе) и увезите наш сигурносни предложак из датотеке Права корисника споолера.инф.

Образац примењујемо позивањем команде из контекстног менија Конфигуришите Компјутер Сада.

Сада као корисник можете проверити да има права за управљање услугом Принт Споолер.

Управљање правима услуга путем групних политика

Ако корисницима требате дати право да одмах покрену / зауставе услугу на многим серверима или рачунарима домена, најлакши начин је коришћење могућности групних политика (ГПО).

  1. Креирајте нови или уредите постојећи ГПО, доделите га потребном контејнеру са рачунарима у Ацтиве Дирецтори-у. Идите на одељак са смерницама Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Системске услуге.
  2. Пронађите услугу Споолер и, слично као претходно расправљеној методологији, доделите права кориснику. Сачувај промене.Напомена. Раније смо показали како помоћу сличног ГПО-а можете сакрити било који Виндовс сервис од свих корисника система.
  3. Остаје причекати примену смерница на клијентским рачунарима и проверити примену поставки сервисних права.

Доделите сервисна дозвола користећи ПоверСхелл

ТецхНет Галлери поседује посебан неслужбени ПоверСхелл модул за управљање дозволама за различите Виндовс објекте - ПоверСхеллАццессЦонтрол Модуле (можете га преузети овде). Овај модул омогућава му да управља правима услуга. Увезите модул у сесију:

Увозни модул ПоверСхеллАццессЦонтрол

Можете да добијете ефективне дозволе за одређену услугу од ПоверСхелл-а на овај начин:

Гет-Сервице споолер | Гет-ЕффецтивеАццесс - Принципал цорп \ тусер

Да бисте обичном кориснику омогућили право покретања и заустављања услуге, урадите:

Гет-Сервице споолер | Адд-АццессЦонтролЕнтри -СервицеАццессРигхтс Старт, Стоп-Принципални корпус \ тусер

Дакле, испитали смо неколико начина управљања правима на Виндовс услугама, омогућавајући вам да било ком кориснику дате било која права на системске услуге. У случају да кориснику треба даљински приступ услузи, без давања права на локално пријављивање, морате омогућити кориснику да даљинско анкетира Сервице Цонтрол Манагер.