Alapértelmezés szerint azok a rendszeres felhasználók, akik nem rendelkeznek rendszergazdai jogokkal, nem tudják kezelni a Windows rendszer (és a legtöbb alkalmazás) szolgáltatását. Ez azt jelenti, hogy nem állíthatják le, nem indíthatják el (újraindíthatják), nem változtathatják meg az ilyen szolgáltatások beállításait és engedélyét. Bizonyos esetekben továbbra is szükséges, hogy a felhasználónak joga legyen bizonyos szolgáltatások újraindítására és kezelésére. Ebben a cikkben számos módszert ismertetünk a Windows Services jogainak kezelésére. Konkrétan megmutatjuk, hogyan lehet egy hétköznapi felhasználó számára biztosítani a Windows rendszergazdai jogosultságok nélküli jogot egy bizonyos szolgáltatás elindítására, leállítására és újraindítására..
Tegyük fel, hogy domain fiókot kell megadnunk contoso\ tuser a nyomtatószolgáltatás (Print Spooler) a rendszernévvel történő újraindításának jogai kezelő.
Nincs egyszerű és kényelmes beépített eszköz a Windows szolgáltatási engedélyek kezelésére. Számos szempontot mérlegelünk a szolgáltatás felhasználói jogainak megadására:
Tartalom:
- Beépített SC.exe (szervizvezérlő)
- SubInACL: Szolgáltatási jogok hozzárendelése a Sysinternals használatával
- Process Explorer: Szolgáltatási engedélyek beállítása
- Biztonsági sablon
- Szolgáltatási jogok kezelése a csoportházirendeken keresztül
- Szolgáltatási engedélyek hozzárendelése a PowerShell használatával
Melyik a könnyebb és kényelmesebb, rajtad múlik..
Beépített SC.exe (szervizvezérlő)
A rendszerszolgáltatásokhoz fűződő jogok kezelésére szolgáló beépített Windows módszer a segédprogram használatát foglalja magában sc.exe (Szervizvezérlő).
megjegyzés. Példa az sc.exe használatára a szolgáltatás kézi eltávolítására a Windows rendszerben.A fő probléma a szolgáltatáshoz való jogok megadásának formátumának (SDDL formátum) dühös szintaxisa.
A szolgáltatáshoz jelenleg érvényes jogokat szerezhet:
sc.exe sdshow Spooler
D: (A ;; CCLCSWLOCRRC ;;; AU) (A ;; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; BA) (A ;; CCLCSWRPWPDTLOCRRC ;;; SY) S: (AU; FA; CCDCLCSWRPWPDTDOC,
Mit jelent ezek a szimbólumok??
S: - Rendszerhozzáférés-vezérlő lista (SACL)D: - Diszkrecionális ACL (DACL)
A zárójel utáni első betű azt jelenti: engedélyezi (A, Engedélyezés) vagy tagadja (D, Megtagadás).
A következő karaktercsokor - átruházható jogok.
CC - SERVICE_QUERY_CONFIG (szolgáltatási beállítások kérése)
LC - SERVICE_QUERY_STATUS (szolgáltatási állapot lekérdezése)
SW - SERVICE_ENUMERATE_DEPENDENTS (függőségi felmérés)
LO - SERVICE_INTERROGATE
CR - SERVICE_USER_DEFINED_CONTROL
RC - READ_CONTROL
RP - SERVICE_START (szolgáltatás indítása)
WP - SERVICE_STOP (szervizmegálló)
DT - SERVICE_PAUSE_CONTINUE (felfüggesztés, folyamatos szolgáltatás)
Az utolsó 2 betű, objektum (felhasználói csoport vagy SID), amelyre a jogokat megadják. Van egy előre definiált csoportok listája.
AU hitelesített felhasználókAO számlavezetők
A VT álneve a korábbi Windows 2000 engedélyezése
AN névtelen bejelentkezés
AU hitelesített felhasználók
BA Beépített rendszergazdák
BG Beépített vendégek
Bo mentési operátorok
BU Beépített felhasználók
CA tanúsító szerver rendszergazdái
CG Teremtő csoport
CO alkotója
DA domain adminisztrátorok
DC tartományú számítógépek
DD tartományvezérlők
DG Domain vendégek
DU Domain felhasználók
EA Enterprise rendszergazdák
ED Enterprise tartományvezérlők
Wd mindenkinek
A PA csoport irányítói
IU Interaktív módon bejelentkezett felhasználó
LA helyi rendszergazda
LG helyi vendég
LS helyi szolgáltatási fiók
SY helyi rendszer
NU hálózati bejelentkezési felhasználó
NINCS hálózati konfigurációs operátorok
NS hálózati szolgáltatás fiók
PO nyomtató-üzemeltetők
PS Személyes én
PU energiafelhasználók
RS RAS szervercsoport
Az RD terminál szerver felhasználói
RE replikátor
RC korlátozott kód
SA Schema rendszergazdák
SO szerver operátorok
SU Szolgáltatás bejelentkezési felhasználó
Az előre definiált csoport helyett kifejezetten megadhat egy felhasználót vagy csoportot SID alapján. Az aktuális felhasználó SID-jét a következő paranccsal kaphatja meg:
Whoami / felhasználó
vagy bármely domain felhasználó számára, amely a PowerShell-parancsmag Get-ADUser parancsot használja:
Get-ADUser -Azonosság 'iipeshkov' válassza az SID lehetőséget
Például a sorkezelő szolgáltatás felhasználói számára a következő paranccsal ruházhatóak fel:
sc sdset Spooler "D: (A;; CCLCSWRPWPDTLOCRRC ;;; SY) (A ;; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; BA) (A ;; CCLCSWLOCRRC ;;; IU) (A ;; CCLCSWLOCRRRR; RPWPCR ;;; S-1-5-21-2133228432-2794320136-1823075350-1000) S: (AU; FA; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD) "
SubInACL: Szolgáltatási jogok hozzárendelése a Sysinternals használatával
Sokkal könnyebb a konzol segédprogramot használni. SubInACL Mark Russinovich a Sysinternals csomagból (amelyre a Microsoft a szerzővel fűződő jogokat tulajdonolja). Ennek a segédprogramnak a szintaxisa sokkal egyszerűbb és érzékelhetőbb. Hogyan adhatunk újraindítási jogokat egy szolgáltatásnak a SubInACL használatával:
- letöltés msi az oldalról (https://www.microsoft.com/en-us/download/details.aspx?id=23510), és telepítse a célrendszerre.
- Az adminisztrátori jogokkal rendelkező parancssorban keresse meg a segédprogramot tartalmazó könyvtárat:
cd “C: \ Program Files (x86) \ Windows Resource Kits \ Tools \)" - Futtassa a parancsot:
subinacl.exe / service Spooler / grant = contoso \ tuser = PTO
megjegyzés. Ebben az esetben a felhasználót feljogosítottuk a szolgáltatás felfüggesztésére (szüneteltetése / folytatása), indítására (indítására) és leállítására (leállítására). A rendelkezésre álló engedélyek teljes listája:F: Teljes irányítás
R: Általános olvasás
W: Általános írás
X: Általános eXecute
L: Olvassa el az irányítást
K: Lekérdezési szolgáltatás konfigurálása
S: Lekérdezési szolgáltatás állapota
E: Felsorolja a függő szolgáltatásokat
C: Szolgáltatásmódosítási konfiguráció
T: Indítsa el a szolgáltatást
O: Stop Service
P: A szolgáltatás szüneteltetése / folytatása
I: Kihallgatási szolgáltatás
U: A felhasználó által definiált vezérlőparancsokHa jogokat kell megadnia egy távoli számítógépen futó szolgáltatásnak, akkor a szintaxis a következő:
subinacl / SERVICE \\ msk-buh01 \ spooler / grant = contoso \ tuser = F - A felhasználói fiók alatt be kell jelentkeznie a rendszerbe, és meg kell próbálnia újraindítani a szolgáltatást a következő parancsokkal:
net stop spooler
net start spooler
megjegyzés. Ebben az esetben a felhasználót feljogosítottuk a szolgáltatás felfüggesztésére (szüneteltetése / folytatása), indítására (indítására) és leállítására (leállítására). A rendelkezésre álló engedélyek teljes listája:Ha mindent helyesen tett, a szolgáltatásnak le kell állnia és újra kell indulnia.
Process Explorer: Szolgáltatási engedélyek beállítása
Egyszerűen módosítsa a szolgáltatás engedélyét egy másik Sysinternals segédprogrammal - folyamat felfedező. Indítsa el a Process Explorer rendszert rendszergazdai jogosultságokkal, és keresse meg a szükséges szolgáltatás folyamatát a folyamatok listájában. Példánkban ez a spoolsv.exe (a nyomtatási sorozat C: \ Windows \ System32 \ spoolsv.exe). Nyissa meg a folyamat tulajdonságait, és lépjen a fülre Szolgáltatások.
Kattintson az Engedélyek gombra, és a megnyíló ablakban adja hozzá a felhasználót vagy csoportot, amelyhez jogokat kell adnia a szolgáltatáshoz és a jogosultság szintjéhez.
Biztonsági sablon
A szolgáltatásokhoz való jog kezelésének vizuálisabb (de több műveletet igénylő) grafikus módja a biztonsági sablonok használata. A megvalósításhoz nyissa ki a konzolt mmc.exe és adj hozzá egy pillanat alatt biztonság sablonok.
Hozzon létre egy új sablont (Új sablon).
Adjon nevet az új sablonnak, és lépjen a rendszer Szolgáltatások. A szolgáltatások listájában válassza ki a szolgáltatást Nyomtató szórólap és nyissa meg tulajdonságait.
Indítási típus beállítása (automatikus) és nyomja meg a gombot A biztonság szerkesztése.
Használja a gombot hozzáad Adja hozzá annak a felhasználónak vagy csoportnak a fiókját, amelyhez jogokat kíván adni. Esetünkben elég jogunk van kezdet, leállítása és szünet.
Sablon mentése (mentés).
Ha megnyitja ezt a fájlt, láthatja, hogy a hozzáférési jogokra vonatkozó adatok a korábban említett SDDL formátumban vannak mentve. Az így kapott karakterlánc argumentumként használható az sc.exe parancshoz..
[Unicode] Unicode = igen [Verzió] aláírás = "$ CHICAGO $" Felülvizsgálat = 1 [Szolgáltatás általános beállítása] "Spooler", 2, "D: AR (A ;; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; SY) (A ;; CCDCLCSWRPWPDTLOCODRWW ;; BA) (A ;; CCLCSWLOCRRC ;;; NE) (A ;; RPWPDTRC ;;; S-1-5-21-3243688314-1354026805-3292651841-1127) S: (AU; FA; CCDCLCSWRPWPDTLOCRSDRCWDWO ;; ) "
Balra kattanással Biztonsági konfiguráció és elemzés hozzon létre egy új adatbázist (Open Database), és importálja a biztonsági sablonunkat egy fájlból Spooler felhasználói jogok.inf.
A sablont úgy alkalmazzuk, hogy meghívjuk a parancsot a helyi menüből konfigurálása számítógép most.
Most felhasználóként igazolhatja, hogy jogosult-e a Print Spooler szolgáltatás kezelésére.
Szolgáltatási jogok kezelése a csoportházirendeken keresztül
Ha engedélyeznie kell a felhasználók számára a szolgáltatás azonnali indításának / leállításának jogát sok szerveren vagy tartományi számítógépen, a legegyszerűbb módszer a csoportházirendek (GPO) képességeinek használata..
- Hozzon létre egy újat vagy szerkesszen egy meglévő csoportházirend-objektumot, rendelje hozzá a szükséges tárolóhoz az Active Directory számítógépekkel. Lépjen az irányelvek szakaszba Számítógép konfigurálása -> Windows beállítások -> Biztonsági beállítások -> Rendszer szolgáltatások.
- Keresse meg a Spooler szolgáltatást, és - a korábban tárgyalt módszertanhoz hasonlóan - jogokat adjon a felhasználónak. Mentés a változásokra.megjegyzés. Korábban megmutattuk, hogy egy hasonló csoportházirend-objektummal elrejtheti a Windows összes szolgáltatását a rendszer összes felhasználójától.
- Végig kell várni a házirendek alkalmazását az ügyfélszámítógépeken, és ellenőrizni kell a szolgáltatásjogi beállítások alkalmazását.
Szolgáltatási engedélyek hozzárendelése a PowerShell használatával
A TechNet Galéria különálló nem hivatalos PowerShell modullal rendelkezik a különféle Windows objektumok engedélyek kezelésére - PowerShellAccessControl Module (letölthető itt). Ez a modul lehetővé teszi a szolgáltatási jogok kezelését. Importálja a modult a munkamenetébe:
Importmodul PowerShellAccessControl
A PowerShell a következő szolgáltatásokhoz kaphat hatékony engedélyeket egy adott szolgáltatáshoz:
Get-Service spool | Get-EffectiveAccess -Principal corp \ tuser
Annak érdekében, hogy a hétköznapi felhasználó jogosult legyen a szolgáltatás elindítására és leállítására, tegye a következőket:
Get-Service spool | Add-AccessControlEntry -ServiceAccessRights Start, Stop -Principal corp \ tuser
Tehát számos lehetőséget megvizsgáltunk a Windows-szolgáltatásokhoz fűződő jogok kezelése érdekében, lehetővé téve, hogy bármely felhasználó számára bármilyen jogot biztosítson a rendszerszolgáltatásokhoz. Abban az esetben, ha a felhasználó távoli hozzáférést igényel a szolgáltatáshoz, anélkül hogy megadná neki a helyi bejelentkezési jogokat, engedélyeznie kell a felhasználót, hogy távolról lekérdezze a Service Control Manager szolgáltatást.
