Ist es möglich, mithilfe von Gruppenrichtlinien die Berechtigung zum Verwalten von Windows-Diensten zu erteilen?

8

Ich würde wirklich gerne wissen, ob dies überhaupt möglich ist, und wenn ja, wo empfehlen Sie mir, nach weiteren Informationen zu suchen? Ich interessiere mich besonders für Server 2003.

Ich habe einige ziemlich offensichtliche Websuchen ausprobiert, aber die meisten Ergebnisse für Gruppenrichtlinien, Windows-Dienste oder Berechtigungen (und ähnliche Kombinationen) diskutieren am Ende, wie bestimmte Dienste über GP aktiviert oder deaktiviert werden können, ohne dass ein Benutzer oder eine Gruppe dies tun kann diese Dinge manuell.

Möglicherweise belle ich mit meinem Ansatz den falschen Baum an. Anregungen werden sehr geschätzt.

permissions group-policy windows-service

— Damian Powell
quelle

Möchten Sie ihnen erlauben, einzelne Dienste zu starten / zu stoppen / zu bearbeiten, oder nur den Zugriff auf das Service-Kontrollfeld verweigern / erhalten?

— Mark Henderson

Ich versuche, einer Gruppe von Benutzern (die keine Administratoren sind) zu ermöglichen, die volle Funktionalität von sc.exe für die Verwaltung von Diensten zu nutzen. Einschließlich Starten, Stoppen und Löschen.

— Damian Powell

@Damian: Sie möchten Nicht-Administrator-Benutzern erlauben, Dienste zu erstellen, oder? Das ist ein ganz anderes Ballspiel. Ich werde auf eine Bearbeitung fallen.

— Evan Anderson

+1 für die Frage; Ich kann sehen, wie dies allgemeiner nützlich sein kann, wenn Sie beispielsweise eine benutzerdefinierte App haben, die einen Dienst ausführt, und Sie möchten, dass Benutzer dies steuern, ohne ihnen den vollständigen Administrator zu geben.

— Maximus Minimus

8

Sie können Gruppenrichtlinien definitiv verwenden, um Benutzern Rechte zum Starten / Stoppen von Diensten zu gewähren. Sie müssen lediglich die Sicherheitsbeschreibung des Dienstes mithilfe der clientseitigen Erweiterung "Gruppenrichtlinie" "Sicherheit" ändern.

Eine sehr kleine Einschränkung: Ich habe Fälle gesehen, in denen einige Dienste die Standardberechtigung, die eine gruppenrichtlinienbasierte Änderung für einen Dienst erteilt, nicht mögen (lesen Sie diesen Beitrag über den Windows-Suchdienst, wenn Sie sehen möchten, wovon ich spreche about: http://peeved.org/blog/2007/12/07 ), aber das war meiner Erfahrung nach ungewöhnlich.

Um den Dienst im Gruppenrichtlinien-Editor zu "sehen", müssen Sie ihn auf einem Computer bearbeiten, auf dem der Dienst installiert ist. (Wenn es sich um einen Standard-Windows-Dienst handelt, ist dies keine große Sache. Wenn es sich jedoch um einen Drittanbieter handelt, der auf einem Computer installiert ist, auf dem er installiert ist, wird eine Kopie der MMC "ausgeführt" und ein Gruppenrichtlinien-Editor für das Gruppenrichtlinienobjekt eingefügt wo Sie diese Einstellungen vornehmen möchten.)

Suchen Sie unter "Computereinstellungen", "Windows-Einstellungen", "Sicherheitseinstellungen" und "Systemdienste" den Dienst, dem Sie die Start / Stopp-Berechtigung erteilen möchten, und definieren Sie eine Richtlinieneinstellung. Sie müssen einen Starttyp auswählen. Klicken Sie auf "Sicherheit bearbeiten" und ändern Sie die Standard-ACL so, dass sie die gewünschten Berechtigungen enthält.

Ich würde empfehlen, das Gruppenrichtlinienobjekt auf einer eingeschränkten Gruppe von Computern zu testen (entweder indem Sie das Gruppenrichtlinienobjekt mit einer Test-Organisationseinheit mit einem einzelnen Computer verknüpfen oder indem Sie das Gruppenrichtlinienobjekt nur auf einen einzelnen Computer filtern) und sicherstellen, dass es das tut, was Sie möchten, bevor Sie fortfahren Ändern Sie die Sicherheit auf allen Ihren Computern nur, um herauszufinden, dass sie nicht das tut, was Sie wollen.

Hier einige Hintergrundinformationen dazu, was die verschiedenen Einträge in einem ACE für Dienste bedeuten:

Verwenden Sie den Befehl "sc sdshow service-name", um die Deskriptoren in SDDL-Notation anzuzeigen.

Bearbeiten:

Die delegierte Erlaubnis zum Erstellen neuer Dienste wird etwas schwierig. Es gibt ein "SC_MANAGER_CREATE_SERVICE" -Recht, das Benutzern für das SCM-Objekt (Service Control Manager) im globalen Objektmanager gewährt werden kann.

In Windows-Versionen bis Windows Server 2003 konnten die Rechte auf dem SCM nicht geändert werden. Ab W2K3 SP1 können Sie die Rechte am SCM ändern.

Die API zum Ändern der Sicherheit lautet SetServiceObjectSecurity . Weitere Informationen finden Sie hier: http://msdn.microsoft.com/en-us/library/aa379589(VS.85).aspx

Weitere Hinweise zu: den Rechten, die dem SCM gewährt werden können, und der auf dem SCM festgelegten Standard-DACL finden Sie hier: http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx

Kurz gesagt, es gibt keine Möglichkeit, dies zu tun, ohne Code zu schreiben. Es gibt keine magische Registrierungseinstellung usw. Wenn Sie jedoch jemanden dazu bringen können, den Code für Sie zu schreiben, ist dies durchaus machbar.

— Evan Anderson
quelle

1

Lesen Sie diese Knowledge Base-Artikel unter Microsoft - Konfigurieren von Gruppenrichtlinien zum Festlegen der Sicherheit für Systemdienste und Gewähren von Benutzerrechten zum Verwalten von Diensten in Windows 2000, in denen alternative Methoden zum Gewähren des Zugriffs zum Verwalten von Diensten erläutert werden.

Hoffe das hilft.

— Marko Carter
quelle

0

Die von Microsoft bereitgestellte Lösung deckt nur Windows 2000-Systeme ab, wie am Ende des Artikels angegeben, obwohl die Lösung für alle Betriebssysteme gültig ist.

Hinzufügen von Diensten von Drittanbietern zu den Systemdiensten in Gruppenrichtlinien

Dies ist ein großer Schritt zurück in der Idee der Zentralisierung der mit Windows 2008 R2 veröffentlichten Gruppenrichtlinieninfrastruktur.

So erstellen Sie die zentralen Vorlagendateien für Gruppenrichtlinien für Gruppenrichtlinien in Windows Vista

— fedayn
quelle