我真的想知道这是否可能,如果是的话,你在哪里推荐我寻找更多的信息? 我对Server 2003特别感兴趣。
我已经尝试了一些非常明显的networkingsearch,但是组策略,Windows服务或权限(以及类似组合)的大部分结果最终讨论了如何通过GP启用或禁用特定服务,而不允许用户或组执行那些手动的东西。
我可能会用我的方法吠叫错误的树。 任何build议,非常感谢。
您肯定可以使用组策略来授予用户启动/停止服务的权限。 您只需要使用“安全”组策略客户端扩展来修改服务上的安全描述符。
一个非常小的警告:我已经看到一些情况,其中一些服务不喜欢基于组策略的修改将服务放在服务上的默认权限(如果要查看我在说什么,请查看有关Windows Search服务的post关于: http : //peeved.org/blog/2007/12/07 ),但这在我的经验中是罕见的。
为了在组策略编辑器中“查看”服务,您需要在安装了服务的计算机上进行编辑。 (如果这是一个股票的Windows服务,那么这是没有什么大不了的,但是如果它是安装了它的计算机上的第三方得到的东西,“runas”一份MMC的副本,然后pipe理一个针对GPO的组策略编辑器您想放置这些设置的位置。)
在“计算机设置”,“Windows设置”,“安全设置”和“系统服务”下,find要授予启动/停止权限的服务并定义策略设置。 你必须select一个启动types。 单击“编辑安全性”并修改默认ACL以包含您正在查找的权限。
我build议在受限制的一组计算机上testingGPO(通过将GPO链接到一台计算机的testingOU,或者将GPO过滤到一台计算机上),并确保它在你走之前做到了你所想要的改变所有的计算机上的安全性,只是为了找出它没有做你想做的事情。
下面是关于ACE中各种条目对于服务的含义的一些背景:
要以SDDL表示法查看描述符,请使用“sc sdshow服务名称”命令。
编辑:
授权创build新的服务将会有点艰难。 有一个“SC_MANAGER_CREATE_SERVICE”权限,可以授予全局对象pipe理器中服务控制pipe理器(SCM)对象上的用户。
在直到Windows Server 2003的Windows版本中,无法在SCM上更改权限。 从W2K3 SP1开始,您可以更改SCM的权限。
更改安全性的API是SetServiceObjectSecurity ,更多信息可在此处获得: http : //msdn.microsoft.com/zh-cn/library/aa379589 ( VS.85) .aspx
还有一些参考资料:可以授予SCM的权限以及SCM上设置的默认DACL可以在这里find: http : //msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx
总之,没有办法做这个没有写代码。 没有神奇的registry设置等等。但是,如果你可以让某人为你写代码,那么这是完全可行的。
请参阅Microsoft的这些知识库文章 – 如何configuration组策略以设置系统服务的安全性以及如何授予用户在Windows 2000中pipe理服务的权限,这些权限讨论了授予访问权限以pipe理服务的其他方法。
希望这可以帮助。
微软提供的解决scheme只是涵盖了Windows 2000系统,就像他们在文章底部所说的那样,即使这个解决scheme适用于所有的操作系统。
如何将第三方服务添加到组策略中的系统服务
因此,这是对其Windows Server 2008 R2发布的组策略基础架构进行集中化思路的一个重要步骤。
如何在Windows Vista中为组策略pipe理模板文件创build中央存储