none
如何建立一组帐号权限:仅可以管理windows service(Start/Stop),而非administrator权限 RRS feed

  • 问题

  • 为了对不同IT Member进行权限分类,希望给helpdesk team一组只有管理windows service权限,而非administrator权限。

    各位有人知道要如何设定吗?

    2012年12月24日 3:02

答案

  • 要怎么建立IPC$,能说明详细点吗,不好意思

    非常简单

    net use \\X.X.X.X\IPC$ 密码 /user:用户名

    如果希望重启后依旧能保持,可以cmdkey去加入

    或者

    开始/运行,输入\\X.X.X.X,回车,输入用户名和密码

    如果希望重启后保持,可以选择记住密码

    2012年12月25日 8:55

全部回复

  • 为了对不同IT Member进行权限分类,希望给helpdesk team一组只有管理windows service权限,而非administrator权限。

    各位有人知道要如何设定吗?

    这些被管理的service,本身的执行所需权限是否为administrator呢?是否可以helpdesk账号的低级权限去运行?这个很关键。

    如果需要admin权限,那你可能只能间接让你的helpdesk去停启服务,比如:通过一个后台以admin身份运行的脚本,检测是否有helpdesk人员放置一个文本文件在某个特定位置(要求停启某一服务),然后去做实际的停启操作。

    如果service仅需helpdesk账号权限就可以运行,那你可以直接把service的logon as设定成那个helpdesk的低级账号,这样helpdesk应该可以对这些服务进行sc start或stop

    • 已编辑 Finy 2012年12月25日 2:06
    2012年12月25日 2:02
  • Hi finy

    我有尝试将user降成power user权限,但是power user权限可以在本机管理service,但是在其他台用MMC远程管理,无法管理service.

    咨询下,如果只能保留power user权限,且一定要用MMC远程管理,还需要加哪些权限?

    Bruce Chen

    2012年12月25日 5:26
  • Hi finy

    我有尝试将user降成power user权限,但是power user权限可以在本机管理service,但是在其他台用MMC远程管理,无法管理service.

    咨询下,如果只能保留power user权限,且一定要用MMC远程管理,还需要加哪些权限?

    Bruce Chen

    按照你的这个描述,我先来重述一下你的环境及需求,你看一下是否正确?

    环境:服务器A上,有一个隶属于Power Users组的账号(我们称其叫helpdesk),且该机上有若干service设置了以该账号身份运行。

    需求:你希望在另一台计算机B上,用mmc添加“服务管理”单元,并以helpdesk身份去连接A机的服务管理,然后通过这个管理单元去停启A机上的服务。

    目前你所遇到的问题是:你无法 用mmc添加“服务管理”单元,并以helpdesk身份去连接A机的服务管理,进而更是无法去停启A机上的服务。

    是这样吗?

    2012年12月25日 5:37
  • Hi Finy

    跟你的描述一致,在计算机B上用helpdesk身份去连接计算机A的服务管理,并停起A机的服务,且helpdesk只有A机的power user权限,或者更低

    2012年12月25日 5:42
  • Hi Finy

    跟你的描述一致,在计算机B上用helpdesk身份去连接计算机A的服务管理,并停起A机的服务,且helpdesk只有A机的power user权限,或者更低

    嗯,那你目前这么操作下来,遇到的故障现象(或者报错)是什么?

    你的A机和B机分别是什么操作系统?

    A机的Windows防火墙是否阻挡了B机去连接?

    • 已编辑 Finy 2012年12月25日 5:58
    2012年12月25日 5:57
  • 防火墙都是disable的,是不是MMC只能是管理员权限才能管理?我用power user权限,在local是可以正常管理的,但是用MMC远程就不行
    2012年12月25日 6:17
  • 防火墙都是disable的,是不是MMC只能是管理员权限才能管理?我用power user权限,在local是可以正常管理的,但是用MMC远程就不行

    你遇到的错误是否是Access Denied?

    我简单Google了一下,你的这种需求应该是能够实现的。

    如果你的A是Windows 2003,且在域环境下,那么试试这篇KB

    How To Configure Group Policies to Set Security for System Services in Windows Server 2003

    http://support.microsoft.com/kb/324802/en-us

    如果你不是域环境,则应该可以用sc sdset子命令来设置服务的DACL,进而解决权限问题

    Set permissions on a specific service (Windows)

    http://msmvps.com/blogs/erikr/archive/2007/09/26/set-permissions-on-a-specific-service-windows.aspx

    Allow Windows users to restart service

    http://kvz.io/blog/2008/03/26/allow-windows-users-to-restart-service/

    总之,看起来你的需求理论上是可实现的,只不过做法上,还有待研究。。。


    至少,我刚试了一下,工作组环境,用Win7的mmc,去连一台XP的服务管理单元(以一个PowerUser身份去连的),然后启动一个之前已经设置为了那个PowerUser登录的服务,是可以的。
    • 已编辑 Finy 2012年12月25日 6:37
    2012年12月25日 6:29
  • 我在想, event log和系统service都是放在system32下面,是否我在system32加入helpdesk帐号read权限就可以?

    需要如何设定?

    2012年12月25日 6:34
  • 我在想, event log和系统service都是放在system32下面,是否我在system32加入helpdesk帐号read权限就可以?

    需要如何设定?

    No No No,不是这么简单的文件级别的权限。

    启动服务,本质上是个启动一个进程,且是一种向SCM(Service Control Manager)发送请求的过程,SCM会检查request的TOKEN,看是否在被启动的服务的ACL中,进而确定是否放行,而这个服务的ACL,就是我刚才回复中提及的用组策略或用sc sdset去改的那个关键的东西。

    2012年12月25日 6:40
  • 纠正一个小错误,前面一直说是服务的ACL,其实那个术语叫SDDL(Service Descriptor Definition Language)
    2012年12月25日 6:45
  • 除了脚本设置方式没有办法吗?gpedit上应该可以设定吧?

    因为用administrator就可以正常管理,应该是在gpediut-computer-windows setting-local politys里面吧,不过我没有找到

    2012年12月25日 7:11
  • 这是我Windows 2008 R2域控上GPMC里编辑一个GPO的截图(gpedit.msc里是看不到的)

    2012年12月25日 7:27
  • 我是觉得没有必要再为了一小部分机器去设定一个新GPO,而且重新改service启动帐号会不会影响现有应用?

    有没有在local 组策略快速设定的方式?

    any msn or other im for us discussion?

    2012年12月25日 7:35
  • 我是觉得没有必要再为了一小部分机器去设定一个新GPO,而且重新改service启动帐号会不会影响现有应用?

    有没有在local 组策略快速设定的方式?

    any msn or other im for us discussion?

    补充问题1,我在windows\system32的security选项加了一个NT帐号read权限,但是在另外一台计算机,开始-运行-\\bcomputer\c$\windows\system32还是访问不了,还需要特别设定什么吗。

    补充问题2,如果我需要用MMC看到event viewer中的system log,需要如何做,也一样只是power user权限

    2012年12月25日 7:43
  • 补充问题1,我在windows\system32的security选项加了一个NT帐号read权限,但是在另外一台计算机,开始-运行-\\bcomputer\c$\windows\system32还是访问不了,还需要特别设定什么吗。

    答:是的,仅read是不能对目录进行浏览的

    补充问题2,如果我需要用MMC看到event viewer中的system log,需要如何做,也一样只是power user权限

    答:这个应该比启动服务要简单得多,先net use用power user建立一个IPC$连接,然后直接mmc去加载就好了(亲测Win7连XP可以)

    2012年12月25日 8:05
  • 我是觉得没有必要再为了一小部分机器去设定一个新GPO,而且重新改service启动帐号会不会影响现有应用?

    有没有在local 组策略快速设定的方式?

    any msn or other im for us discussion?

    local恐怕就不得不sc sdset来做了吧,应该没GUI了

    2012年12月25日 8:08
  • 要怎么建立IPC$,能说明详细点吗,不好意思
    2012年12月25日 8:29
  • 要怎么建立IPC$,能说明详细点吗,不好意思

    非常简单

    net use \\X.X.X.X\IPC$ 密码 /user:用户名

    如果希望重启后依旧能保持,可以cmdkey去加入

    或者

    开始/运行,输入\\X.X.X.X,回车,输入用户名和密码

    如果希望重启后保持,可以选择记住密码

    2012年12月25日 8:55