作者:beyond
默認情況下,只有管理員組成員、LocalSystem和Power Users組成員帳戶才有權啟動、停止服務。為了讓普通用戶也可以控制該服務,我們可以手動設置其訪問權限。可能有些初學者會感到奇怪,怎么服務也可以設置權限?其實在Windows系統里,不僅可以對文件夾設置權限,還可以對注冊表、打印機和服務等系統資源進行權限設置。然而對服務進行權限設置,沒有對文件夾進行權限設置那么直觀,需要借助以下兩種方法:
安全配置和分析
(1)以管理員身份登錄系統,在運行對話框里輸入mmc並回車打開控制台窗口,然后添加“安全配置和分析”管理單元。
(2)鼠標右鍵單擊新添加的“安全配置和分析”管理單元,單擊彈出菜單上的“打開數據庫”菜單項,在打開的對話框里指定新建的安全數據庫名稱,例如可以是SrvACL,然后單擊“打開”按鈕。
(3)在隨之打開的對話框上選擇系統內置的安全模板文件,例如可以選擇“setup security”模板。
(4)鼠標右鍵單擊“安全配置和分析”管理單元,單擊彈出菜單上的“立即分析計算機”菜單項,在彈出對話框上單擊“確定”按鈕即可開始分析當前計算機的安全配置。
(5)分析結束以后,單擊左側控制台樹里的“系統服務”節點,在右側的詳細窗格里雙擊所需設置的服務名(本例是App Service)。
(6)在打開的屬性對話框上勾選“在數據庫中定義這個策略”復選框,然后單擊“編輯安全設置”按鈕。
(7)在打開的安全設置對話框上添加Users用戶,然后確保勾選“啟動停止和暫停”權限右側的“允許”復選框,如圖下所示。
(8)依次單擊所有打開對話框上的“確定”按鈕,然后鼠標右鍵單擊“安全配置和分析”管理單元,單擊彈出菜單上的“立即配置計算機”菜單項,即可用剛才定義的權限設置配置系統。
Subinacl命令工具
還可以借助Subinacl命令工具方便地查看和設置服務的權限配置,到以下微軟官方網站下載其最新版本:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en
(1)以管理員身份登錄系統,打開命令提示符窗口。
(2)在命令提示符下輸入以下命令:
subinacl /service AppSrv /grant=users=top
要注意,subinacl只能接收服務名(ServiceName),而不是顯示名稱(DisplayName)。命令參數“grant=users=top”表示給Users組帳戶賦予“啟動、停止和暫停”AppSrv服務的權限,“top”中的t代表start(啟動)權限、o代表stop(停止)權限、p代表pause(中止/繼續)權限。
(3)接下來可以運行以下命令,查看AppSrv服務的權限設置:
subinacl /verbose=2 /service AppSrv /display=dacl
命令結果類似如下所示:
====================
+Service AppSrv
====================
/perm. ace count =5
/pace =builtin\administrators ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_ALL_ACCESS
……
/pace =builtin\users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40
注意 服務的登錄身份指定了服務能夠以多大的權限訪問系統資源,而服務的訪問權限則指定用戶能夠以多大權限控制該服務。
http://caizhixin75.blog.163.com/blog/static/1835107120071171136765/