Размотрите карактеристике давања права на удаљени приступ листи услуга које покреће на серверу корисник домена који нема локална администраторска права. У суштини, задатак је обезбедити приступ удаљеној вези на интерфејс менаџера контроле услуга - Менаџер контроле услуга (СЦманагер).
Како изгледа проблем Претпоставимо да желимо да удаљени корисник / или систем за надгледање буде у могућности да поставља статус услуга на серверу. Из очитих разлога, овај удаљени корисник нема административна права и локална права на пријаву на сервер.
Када се покушате повезати и добити листу услуга на удаљеном рачунару помоћу конзоле сервицес.мсц, корисник добија грешку:
Виндовс није успео да отвори базу података управитеља сервисних сервиса на име рачунара
Грешка 5: Приступ је одбијен.
Ако покушате да наведете услуге на удаљеном серверу помоћу услужног програма сц.еке, грешка је следећа:
Ц: \ Виндовс \ систем32> сц \\ обтс-01 упит
Приступ је одбијен.
Могућност приступа листи услуга контролише сигурносни дескриптор базе података Сервице Цонтрол Манагер, даљински приступ који је за кориснике "Овјерених корисника" био ограничен у Виндовс 2003 СП1 (што је генерално логично). Само чланови групе локалних администратора имају права удаљеног приступа овој услузи.
Размотримо како да обезбедимо даљински приступ Сервице Цонтрол Манагер да добијемо листу сервиса сервера и могућност добијања њиховог статуса за обичне кориснике (без административних права) користећи пример Виндовс Сервер 2012 Р2.
Тренутне дозволе управитеља сервиса (СЦМ) могу се добити помоћу услужног програма сц.еке, извршавањем командне линије покренуте као администратор:
сц сдсхов сцманагер
Наредба ће вратити нешто попут ове СДДЛ линије:
Д: (А;; ЦЦ;;; АУ) (А;; ЦЦЛЦРПРЦ;;; ИУ) (А;; ЦЦЛЦРПРЦ;;; СУ) (А;; ЦЦЛЦРПВПРЦ;;; СИ) (А;; КА ;;; БА) (А;; ЦЦ;;; АЦ) С: (АУ; ФА; КА;;; ВД) (АУ; ОИИОФА; ГА;;; ВД)
У овом случају се може видети да је групи подразумеваних корисника (АУ) подразумевано омогућено да се повежу само на СЦМ, али не и да анкетирају (ЛЦ) услуге. Копирајте линију у прозор било ког уређивача теста.
Следећи корак је добијање СИД-а корисника или групе којој желимо да обезбедимо даљински приступ СЦМ-у (Како да добијемо СИД корисника по имену). На пример, добијамо СИД АД групе мск-хд овако:
Гет-АДгроуп -Идентити 'мск-хд' | одаберите СИД
СИД
---
С-1-5-21-2470146451-3958456388-2988885117-23703978
У уређивачу текста у линији СДДЛ блок морате копирати (А ;;ЦЦЛЦРПРЦ ;;;ИУ) - (ИУ - значи Интерактивни корисници)), замените у копирани ИУ блок корисничким / групним СИД-ом и залепите примљену линију пре С:.
У нашем случају добили смо следећу линију:
Д: (А;; ЦЦ;;; АУ) (А;; ЦЦЛЦРПРЦ;;; ИУ) (А;; ЦЦЛЦРПРЦ;;; СУ) (А;; ЦЦЛЦРПВПРЦ;;; СИ) (А;; КА ;;; БА) (А ;; ЦЦ ;;; АЦ) (А ;; ЦЦЛЦРПРЦ ;;;С-1-5-21-2470146451-3958456388-2988885117-23703978)С: (АУ; ФА; КА;;; ВД) (АУ; ОИИОФА; ГА;;; ВД)
А сада, користећи сц.еке, мењамо параметре сигурносног дескриптора Сервице Цонтрол Манагер:
сц сдсет сцманагер „Д: (А;; ЦЦ;;; АУ) (А;; ЦЦЛЦРПРЦ;;; ИУ) (А;; ЦЦЛЦРПРЦ;;; СУ) (А;; ЦЦЛЦРПВПРЦ;;; СИ) (А ;; КА ;;; БА) (А;; ЦЦ;;; АЦ) (А;; ЦЦЛЦРПРЦ ;;; С-1-5-21-2470146451-3958456388-2988885117-23703978) С: (АУ; ФА; КА ;; ; ВД) (АУ; ОИИОФА; ГА;;; ВД) "
Гудачки [СЦ] СетСервицеОбјецтСецурити СУЦЦЕСС каже да су нове безбедносне поставке успешно примењене, а корисничким правима смо дали слична права локално верификованих корисника: СЦ_МАНАГЕР_ЦОННЕЦТ, СЦ_МАНАГЕР_ЕНУМЕРАТЕ_СЕРВИЦЕ, СЦ_МАНАГЕР_КУЕРИ_ЛОЦК_СТАТУС и СТАНДАРД_РИГХТС_РЕАД.
Проверите да ли сада удаљени корисник може добити листу услуга и њихов статус помоћу конзоле за управљање услугама (сервицес.мсц) и помоћу упита сц \\ сервер-наме1 упита
Наравно, нема права за управљање покренутим сервисима, јер Приступ свакој услузи контролише појединачни АЦЛ. Да бисте одобрили корисничка права за покретање / заустављање сервиса сервера, требало би да користите упутства из чланка Додељивање права кориснику за контролу (покретање, заустављање, поновно покретање) Виндовс услуга.
Савет. Када додјељују права СЦМанагеру осим стандардног, они се спремају у ХКЛМ \ СИСТЕМ \ ЦуррентЦонтролСет \ Цонтрол \ СервицеГроупОрдер \ Сецурити огранак. А ако је направљена грешка приликом генерисања СДДЛ линије, можете ресетирати тренутне задане дозволе једноставним брисањем ове гране и поновним покретањем..