środa, 13 lutego 2019

Uprawnienia do serwisu

Dość częstym problemem jest nadawanie uprawnień do włączania lub wyłączania (tudzież restartowania) określonych serwisów systemu Windows przez użytkownika nie będącym administratorem. Zdawałoby się, że "po co użytkownikowi takie uprawnienie?". A chociażby do restartu tzw. spoolera.
Sam Windows posiada na pokładzie narzędzie, przy pomocy którego można zmienić te ustawienia uprawnień do serwisu, ale jego zawiła składnia skutecznie zniechęca do podjęcia nawet prób zmiany tychże uprawnień (mowa o sc.exe). Stąd warto sięgnąć po narzędzia, które są proste, przystępne i zrouzumiałe w swojej składni. Mam tu na myśli darmowe narzędzie ze stajni Sysinternals: SubInAcl Tool  (https://www.microsoft.com/en-us/download/details.aspx?id=23510).
Jest to narzędzia linii komend, ale nie ma co się bać. Jego składnia jest przystępna i łatwa w zrozumieniu. Jedyne co musimy pamietać to to, że na serwis można nałożyć aż 14 uprawnień, które reprezentowane są przez odpowiednie literki:
  • F : Full Control 
  • R : Generic Read 
  • W : Generic Write 
  • X : Generic eXecute 
  • L : Read controL 
  • Q : Query Service Configuration 
  • S : Query Service Status 
  • E : Enumerate Dependent Services 
  • C : Service Change Configuration 
  • T : Start Service 
  • O : Stop Service 
  • P : Pause/Continue Service 
  • I : Interrogate Service 
  • U : Service User-Defined Control Commands

W przypadku nadawania pełnych uprawnień do serwisu spoolera komenda będzie wyglądała tak:

subinacl /SERVICE \\lon-prnt1\spooler /grant=nazwa_domeny\użytkownik=F

Dla tych, co nie bardzo lubią linię poleceń, można polecić inne narzędzie z tej samej stajni: Process  Explorer. Tu można wyświetlić właściwości serwisu a jedna z zakładek będzie pozwalała na wizualne ustawienie uprawnień do procesu.

Brak komentarzy:

Prześlij komentarz