Razmotrite značajke dodjele prava na udaljeni pristup popisu usluga koje pokreće na poslužitelju korisnik domene koji nema lokalna administratorska prava. U osnovi, zadatak je pružiti pristup udaljenoj vezi na sučelje upravitelja kontrole usluge - Voditelj kontrole usluga (SCManager).
Kako izgleda problem. Pretpostavimo da želimo da udaljeni korisnik / ili nadzorni sustav može postaviti upit o statusu usluga na poslužitelju. Iz očitih razloga, ovaj udaljeni korisnik nema administrativna prava i lokalna prava prijave na poslužitelju.
Kada se pokušate povezati i dobiti popis usluga na udaljenom računalu pomoću konzole services.msc, korisnik dobiva pogrešku:
Windows nije uspio otvoriti bazu podataka upravitelja usluga usluge na ime računala
Pogreška 5: Pristup je odbijen.
Ako pokušate popisati usluge na udaljenom poslužitelju pomoću uslužnog programa sc.exe, greška je sljedeća:
C: \ Windows \ system32> sc \\ obts-01 upit
Pristup je odbijen.
Mogućnost pristupa popisu usluga kontrolira sigurnosni deskriptor baze podataka Service Control Manager, udaljeni pristup koji je za korisnike "Ovjerenih korisnika" bio ograničen u Windows 2003 SP1 (što je, općenito, logično). Samo članovi grupe lokalnih administratora imaju prava udaljenog pristupa ovoj usluzi.
Razmotrimo kako osigurati udaljeni pristup Service Control Manageru da biste dobili popis poslužiteljskih usluga i mogućnost dobivanja njihovog statusa za obične korisnike (bez administrativnih prava) na primjeru sustava Windows Server 2012 R2.
Trenutna dopuštenja upravitelja usluge (SCM) mogu se dobiti pomoću uslužnog programa SC.eXE, izvršavanjem naredbenog retka pokrenutog kao administrator:
sc sdshow scmanager
Naredba će vratiti nešto poput ove SDDL linije:
D: (A;; CC;;; AU) (A;; CCLCRPRC ;;; IU) (A;; CCLCRPRC;;; SU) (A;; CCLCRPWPRC;;; SY) (A;; KA ;;; BA) (A;; CC;;; AC) S: (AU; FA; KA;;; WD) (AU; OIIOFA; GA;;; WD)
U tom se slučaju vidi da je prema zadanim postavkama grupi Ovjerenih korisnika (AU) omogućeno samo povezivanje na SCM, ali ne i za usluge ankete (LC). Kopirajte liniju u prozor bilo kojeg testnog uređivača.
Sljedeći korak je dobivanje SID-a korisnika ili grupe kojoj želimo omogućiti udaljeni pristup SCM-u (Kako dobiti SID korisnika po imenu). Na primjer, dobivamo SID AD grupe msk-hd ovako:
Get-ADgroup -Identitet 'msk-hd' | odaberite SID
SID
---
S-1-5-21-2470146451-3958456388-2988885117-23703978
U uređivaču teksta u liniji SDDL blok morate kopirati (A ;;CCLCRPRC ;;;IU) - (IU - znači Interaktivni korisnici)), zamijenite u kopirani IU blok SID korisnika / grupe i zalijepite primljeni redak prije S:.
U našem slučaju, dobili smo sljedeći redak:
D: (A;; CC;;; AU) (A;; CCLCRPRC ;;; IU) (A;; CCLCRPRC;;; SU) (A;; CCLCRPWPRC;;; SY) (A;; KA ;;; BA) (A;; CC;;; AC) (A ;; CCLCRPRC ;;;S-1-5-21-2470146451-3958456388-2988885117-23703978)S: (AU; FA; KA;;; WD) (AU; OIIOFA; GA;;; WD)
A sada, koristeći sc.exe, mijenjamo parametre sigurnosnog deskriptora Service Control Manager:
sc sdset scmanager "D: (A;; CC;;; AU) (A;; CCLCRPRC;;; IU) (A;; CCLCRPRC;;; SU) (A;; CCLCRPWPRC;;; SY) (A ;; KA;;; BA) (A;; CC;;; AC) (A; CCLCRPRC ;;; S-1-5-21-2470146451-3958456388-2988885117-23703978) S: (AU; FA; KA ;; ; WD) (AU; OIIOFA; GA;;; WD) "
red [SC] SetServiceObjectSecurity SUCCESS kaže da su se nove sigurnosne postavke uspješno primijenile, a korisničkim smo pravima dali slična prava lokalno provjerenih korisnika: SC_MANAGER_CONNECT, SC_MANAGER_ENUMERATE_SERVICE, SC_MANAGER_QUERY_LOCK_STATUS i STANDARD_RIGHTS_READ.
Provjerite da li sada udaljeni korisnik može primati popis usluga i njihov status pomoću konzole za upravljanje uslugama (services.msc) i pomoću upita sc \\ server-name1 upita
Naravno, nema prava za upravljanje pokrenutim servisima jer Pristup svakoj usluzi kontrolira pojedinačni ACL. Da biste korisničkom pravu odobrili pokretanje / zaustavljanje poslužiteljskih usluga, trebate koristiti upute iz članka Dodjela prava korisniku za kontrolu (pokretanje, zaustavljanje, ponovno pokretanje) Windows usluga.
