Как разрешить рядовому пользователю управлять сервисами?

[Victor Sudakov]

Коллеги,

%subj%

В статье http://support.microsoft.com/kb/256345/RU/ написано, как
сделать это через GPO, но проблема в том, что в локальном GPO в
"Security Settings" нет пункта "System Services". В доменном GPO пункт
есть, но в списке сервисов нет нужного мне сервиса (он уникален для
одной машины, на которой стоит спец. софт).

Пробую делать через subinacl - просто ничего не происходит:

C:\Program Files\Far>subinacl /service XXXXXYY /GRANT=sibptus\sudakovva=TO
+service XXXXXYY
/GRANT=sibptus\sudakovva=TO

Elapsed Time: 00 00:00:00
Done: 0, Modified 0, Failed 0, Syntax errors 0

Прошу помощи клуба.

--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/

[Anatoly Gerasimov]

Hello Victor,

09 Feb 09, Victor Sudakov (2:5005/149) wrote to All:

VS> В статье http://support.microsoft.com/kb/256345/RU/ написано, как
VS> сделать это через GPO, но проблема в том, что в локальном GPO в
VS> "Security Settings" нет пункта "System Services". В доменном GPO пункт
VS> есть, но в списке сервисов нет нужного мне сервиса (он уникален для
VS> одной машины, на которой стоит спец. софт).

VS> Пробую делать через subinacl - просто ничего не происходит:

=================== Cut ===================
F:\work\scripts>sc sdset binkd
F:\work\scripts>"D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLO
F:\work\scripts>CRRC;;;IU)(A;;CCLCSWLOCRRC;;;S-1-5-21-2827974910-4186698163-2636710957-1014)(A;
F:\work\scripts>;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)S:(AU;FA;CCDCLCSWRPW
F:\work\scripts>PDTLOCRSDRCWDWO;;;WD)"

[SC] SetServiceObjectSecurity SUCCESS
================= End cut =================

Синтакстис SDDL

http://www.washington.edu/computing/support/windows/UWdomains/SDDL.html

WBR Anatoly.

[Victor Sudakov]

Anatoly Gerasimov wrote:

> VS> В статье http://support.microsoft.com/kb/256345/RU/ написано, как
> VS> сделать это через GPO, но проблема в том, что в локальном GPO в
> VS> "Security Settings" нет пункта "System Services". В доменном GPO пункт
> VS> есть, но в списке сервисов нет нужного мне сервиса (он уникален для
> VS> одной машины, на которой стоит спец. софт).

> VS> Пробую делать через subinacl - просто ничего не происходит:

> =================== Cut ===================
> F:\work\scripts>sc sdset binkd

[dd]

> Синтакстис SDDL

> http://www.washington.edu/computing/support/windows/UWdomains/SDDL.html

Про sc я не знал. Спасибо, познавательно.
Задачу правда уже решил через "Шаблоны безопасности".

[Andrew Kant]

Hello Victor!

Monday February 16 2009 09:19, Victor Sudakov wrote to Anatoly Gerasimov:

>> VS> В статье http://support.microsoft.com/kb/256345/RU/ написано, как
>> VS> сделать это через GPO, но проблема в том, что в локальном GPO в
>> VS> "Security Settings" нет пункта "System Services". В доменном GPO

>> VS> пункт есть, но в списке сервисов нет нужного мне сервиса (он
>> VS> уникален для одной машины, на которой стоит спец. софт).

>> VS> Пробую делать через subinacl - просто ничего не происходит:

>> =================== Cut ===================
>> F:\work\scripts>sc sdset binkd

VS> [dd]

>> Синтакстис SDDL

>> http://www.washington.edu/computing/support/windows/UWdomains/SDDL.htm
>> l

VS> Про sc я не знал. Спасибо, познавательно.
VS> Задачу правда уже решил через "Шаблоны безопасности".
Через доменные или через локальный GPO ?

Good bye!
Andrew

[Victor Sudakov]

Andrew Kant wrote:

> >> VS> В статье http://support.microsoft.com/kb/256345/RU/ написано, как
> >> VS> сделать это через GPO, но проблема в том, что в локальном GPO в
> >> VS> "Security Settings" нет пункта "System Services". В доменном GPO
> >> VS> пункт есть, но в списке сервисов нет нужного мне сервиса (он
> >> VS> уникален для одной машины, на которой стоит спец. софт).

> >> VS> Пробую делать через subinacl - просто ничего не происходит:

> >> =================== Cut ===================
> >> F:\work\scripts>sc sdset binkd

> VS> [dd]

> >> Синтакстис SDDL

> >> http://www.washington.edu/computing/support/windows/UWdomains/SDDL.htm
> >> l

> VS> Про sc я не знал. Спасибо, познавательно.
> VS> Задачу правда уже решил через "Шаблоны безопасности".
> Через доменные или через локальный GPO ?

Вообще не через GPO. См. первый абзац квоты, почему через GPO сделать
не получилось.

Сгенерил .inf файл с нужными настройками сервиса с помощью оснастки
"Шаблоны безопасности", потом приложил этот .inf с помощью secedit.
Всё проделано локально.

[Andrew Kant]

Hello Victor!

Monday February 16 2009 20:09, Victor Sudakov wrote to Andrew Kant:
>> VS> Задачу правда уже решил через "Шаблоны безопасности".
>> Через доменные или через локальный GPO ?

VS> Вообще не через GPO. См. первый абзац квоты, почему через GPO сделать
VS> не получилось.

VS> Сгенерил .inf файл с нужными настройками сервиса с помощью оснастки
VS> "Шаблоны безопасности", потом приложил этот .inf с помощью secedit.
VS> Всё проделано локально.

Так вроде-бы шаблоны безопасности (secpol.msc) - составная часть локального GPO
(gpedit.msc). Или я чего-то попутал ?

Good bye!
Andrew

[Victor Sudakov]

Andrew Kant wrote:
> >> VS> Задачу правда уже решил через "Шаблоны безопасности".
> >> Через доменные или через локальный GPO ?

> VS> Вообще не через GPO. См. первый абзац квоты, почему через GPO сделать
> VS> не получилось.

> VS> Сгенерил .inf файл с нужными настройками сервиса с помощью оснастки
> VS> "Шаблоны безопасности", потом приложил этот .inf с помощью secedit.
> VS> Всё проделано локально.

> Так вроде-бы шаблоны безопасности (secpol.msc) - составная часть
> локального GPO (gpedit.msc). Или я чего-то попутал ?

В локальном GPO ты не увидишь полный набор шаблонов безопасности
(в частности папки "Системные службы" там не будет, также не будет папок
"Реестр" и "Файловая система"). Уж не знаю почему.

А ещё есть отдельная оснастка "Шаблоны безопасности", там всё это
есть. Зато например нет "Политики ограниченного использования программ".

Открой две mmc рядом да сравни. Множества пересекаются, но не равны.