Uprawnienia do usługi w Windows


 

W środowisku serwerów Windows, w którym uprawnienia Administratora są limitowane może zajść potrzeba, aby któryś z użytkowników (np.developer) dostał uprawnienia do konkretnej usługi (np. programu, który ta osoba wspiera). W zależności od potrzeb mogą to być uprawnienia do re-konfigurowania całej usługi lub też zwykłe uprawnienia do jej startowania i zatrzymywania. Jak robią to spece IT?

Jak zwykle metod rozwiązania danego problemu będzie kilka, ale ja przedstawię Wam swoją. Po raz kolejny przyda się nam sprytne Microsoft’owe narzędzie SubInACL.exe. Używaliśmy go do resetowania uprawnień na rejestrze, a teraz SubInACL zmodyfikuje uprawnienia do usług (serwisów).

Dla przypomnienia, narzędzie to działa tylko w Wierszu Poleceń. Instalator zapyta o ścieżkę do katalogu w którym umieści jeden plik .exe i dokumentację w dwóch plikach .htm. Po instalacji plik .exe można swobodnie przenieść sobie do dowolnego katalogu i używać jako program „portable” .

Jeśli po przeczytaniu słowa „SubInACL.exe”, będącego dla niektórych już wystarczającą podpowiedzią, nie przestaliście czytać dalej, to zakładam, że to narzędzie albo jest dla Was nowe, albo po prostu przyda się Wam poniższe polskie tłumaczenie i nie pogniewacie się, piszę o czymś, co sami moglibyście sobie wyczytać za pomocą:

SubInACL.exe /?

Przejdźmy zatem do konkretów. Składnia polecenia, jakiego użyjemy wygląda następująco:

subinacl /service \\nazwa_maszyny\nazwa_usługi /GRANT=[domena\]użytkownik[=rodzaj_dostępu]

Jeśli pominiemy wartość „\\nazwa_maszyny”, to polecenie wykona się na maszynie lokalnej.

Gdy pominiemy wartość „domena”, użytkownik będzie zrozumiany jako konto lokalne.

“rodzaj_dostepu” może przyjąć następujące wartości:

F : Pełna kontrola (Full Control)
R : Prawo odczytu (Read) (użytkownik widzi tą usługę, ale nie może jej modyfikować)
W : Prawo do modyfikowania (Write)
X : Prawo do uruchomienia (eXecute)
Q : Odczytanie szczegółowych informacji (Query Service Configuration)
S : Odczytanie statusu (Query Service Status)
E : Wylistowanie usług zależnych (Enumerate Dependent Services)
C : Zmiana w konfiguracji usługi (Service Change Configuration)
T : Uruchamianie usługi (Start)
O : Zatrzymywanie usługi (Stop)
P : Pauza/wznowienie

Polityka ograniczająca administratorskie dostępy użytkowników do serwerów ma według mnie dużo sensu i wyraźnie zwiększa bezpieczeństwo w systemach. Umiejętność zarządzania uprawnieniami do usług pozwala ograniczyć zbędne administratorskie dostępy, a jednocześnie zapewnić użytkownikom możliwość wykonywania swojej pracy. Mam nadzieję, że ta porada będzie przydatna :)


Podobne Tematy: