Zvážte vlastnosti udeľovania práv na vzdialený prístup k zoznamu služieb spustených na serveri používateľom domény, ktorý nemá práva miestneho správcu. Úlohou je v podstate poskytnúť prístup k vzdialenému pripojeniu do rozhrania manažéra riadenia služieb - Manažér riadenia služieb (SCManager).
Ako vyzerá problém. Predpokladajme, že chceme, aby vzdialený používateľ alebo monitorovací systém mohol zisťovať stav služieb na serveri. Z pochopiteľných dôvodov tento vzdialený používateľ nemá administrátorské práva a práva na lokálne prihlásenie na server.
Pri pokuse o pripojenie a získanie zoznamu služieb na vzdialenom počítači pomocou konzoly services.msc sa používateľovi zobrazí chyba:
Systém Windows nemohol otvoriť databázu manažéra riadenia služieb na počítači
Chyba 5: Prístup bol odmietnutý.
Ak sa pokúsite uviesť zoznam služieb na vzdialenom serveri pomocou obslužného programu sc.exe, je to táto chyba:
C: \ Windows \ system32> sc \\ obts-01 dotaz
Prístup bol odmietnutý.
Schopnosť prístupu k zoznamu služieb je riadená deskriptorom zabezpečenia databázy Service Control Manager, ktorého vzdialený prístup pre používateľov „Authenticated Users“ bol v systéme Windows 2003 SP1 obmedzený (čo je vo všeobecnosti logické). Iba členovia skupiny miestnych administrátorov majú práva na vzdialený prístup k tejto službe.
Uvažujme, ako poskytnúť vzdialený prístup k Správcovi riadenia služieb, aby sme dostali zoznam serverových služieb a možnosť získania ich stavu pre bežných používateľov (bez práv správcu) pomocou príkladu systému Windows Server 2012 R2..
Povolenia aktuálneho správcu služieb (SCM) je možné získať pomocou obslužného programu sc.exe, vykonaním príkazového riadku spusteného ako správca:
sc sdshow scmanager
Príkaz vráti niečo ako tento riadok SDDL:
D: (A;; CC;;; AU) (A;; CCLCRPRC ;;; IU) (A;; CCLCRPRC ;;; SU) (A;; CCLCRPWPRC ;;; SY) (A ;; KA ;;; BA) (A;; CC;;; AC) S: (AU; FA; KA ;;; WD) (AU; OIIOFA; GA ;;; WD)
V tomto prípade je zrejmé, že skupina Authenticated Users (AU) je v predvolenom nastavení povolená len na pripojenie k SCM, nie však na prieskum (LC) služieb. Skopírujte riadok do okna ľubovoľného testovacieho editora.
Ďalším krokom je získanie SID používateľa alebo skupiny, ktorým chceme poskytnúť vzdialený prístup k SCM (Ako získať SID používateľa podľa mena). Napríklad dostaneme SID AD skupiny msk-hd takto:
Get-ADgroup -Identity 'msk-hd' | vyberte SID
SID
---
S-1-5-21-2470146451-3958456388-2988885117-23703978
V textovom editore v riadku SDDL musíte skopírovať blok (A ;;CCLCRPRC ;;;IU) - (IU - znamená Interactive Users)), v skopírovanom bloku IU nahraďte SID užívateľa / skupiny a prilepte prijatý riadok pred S:.
V našom prípade sme dostali nasledujúci riadok:
D: (A;; CC;;; AU) (A;; CCLCRPRC ;;; IU) (A;; CCLCRPRC ;;; SU) (A;; CCLCRPWPRC ;;; SY) (A ;; KA ;;; BA) (A ;; CC ;;; AC) (A ;; CCLCRPRC ;; .;S-1-5-21-2470146451-3958456388-2988885117-23703978)S: (AU; FA; KA ;;; WD) (AU; OIIOFA; GA ;;; WD)
A teraz pomocou sc.exe zmeníme parametre popisovača zabezpečenia Service Control Manager:
scsdset scmanager „D: (A;; CC;;; AU) (A;; CCLCRPRC ;;; IU) (A;; CCLCRPRC ;;; SU) (A ;; CCLCRPWPRC ;;; SY) (A ;;; KA ;;; BA) (A;; CC;;; AC) (A;; CCLCRPRC ;;; S-1-5-21-2470146451-3958456388-2988885117-23703978) S: (AU; FA; KA ;;); ; WD) (AU; OIIOFA; GA ;;; WD) “
riadok [SC] SUCCESSServiceObjectSecurity SUCCESS hovorí, že nové nastavenia zabezpečenia boli úspešne uplatnené, a udelili sme používateľom podobné práva ako lokálne overení používatelia: SC_MANAGER_CONNECT, SC_MANAGER_ENUMERATE_SERVICE, SC_MANAGER_QUERY_LOCK_STATUS a STANDARD_RIGHTS_READ.
Skontrolujte, či teraz môže vzdialený používateľ získať zoznam služieb a ich stav pomocou konzoly pre správu služieb (services.msc) a pomocou dotazu sc \\ server-name1 query
Prirodzene, neexistujú žiadne práva na správu prevádzkovaných služieb, pretože Prístup ku každej službe je riadený individuálnym ACL. Ak chcete používateľovi udeliť práva na spustenie / zastavenie serverových služieb, mali by ste použiť pokyny z článku Udelenie práv používateľovi na ovládanie (spustenie, zastavenie, reštartovanie) služieb Windows..
rada. Pri prideľovaní iných práv ako štandardu SCManager sa tieto ukladajú do vetvy HKLM \ SYSTEM \ CurrentControlSet \ Control \ ServiceGroupOrder \ Security. Ak sa pri generovaní riadku SDDL vyskytla chyba, môžete pôvodné predvolené povolenia resetovať jednoduchým odstránením tejto vetvy a reštartovaním.