我有一个Windows域帐户,我希望能够修改特定服务的ACL。 目前此帐户正在用于运行安装程序,安装程序想要执行ACL修改,但是失败。 该帐户是一个本地pipe理员,但显然由于某些组策略,它正在尝试修改服务的ACL时遇到审核失败。
我如何将此权限授予此帐户? 如果我可以明确地configuration服务,我宁愿不必修改组策略。
我很欣赏任何指针,但特别完整的答案,因为其中一些概念对我来说是相当新的。
新的信息:
我能够完成这个目标,但可能过于宽泛的中风…特别是我修改了服务的安全描述符,使用“sc sdshow”和“sc sdset”,并给了我可以想到的每个权限的帐户在SDDLstring中…尤其是这些:CCDCLCSWRPWPDTLOCRSDRCWDWO
有谁知道哪些实际上对应于我正在寻找的“修改ACL”权限?
也有人知道什么组策略我已经到位,创造这个问题开始(因为缺乏组策略问题消失)?
由于这是一个干扰这些权限的组策略,我会build议修复组策略。
您可以通过编辑违规组策略,深入到计算机configuration> Windows设置>安全设置>系统服务>从列表中select所需的服务,然后转到属性。 编辑安全…并在“高级”选项卡中将“更改权限”添加到所需的安全主体。
如果由于某种原因你不能这样做,你可以继续使用你正在使用的sc sdset方法…修改权限是SDDL中的“WD”。 注意,如果有一个GPO覆盖它,这可能不会坚持。