Zvažte funkce udělování oprávnění pro vzdálený přístup k seznamu služeb spuštěných na serveru uživatelem domény, který nemá práva místního správce. Úkolem je v podstatě poskytnout přístup ke vzdálenému připojení do rozhraní správce řízení služeb - Správce řízení služeb (SCmanager).
Jak problém vypadá. Předpokládejme, že chceme, aby vzdálený uživatel nebo monitorovací systém mohl dotazovat stav služeb na serveru. Ze zjevných důvodů tento vzdálený uživatel nemá administrátorská práva a práva místního přihlášení k serveru.
Při pokusu o připojení a získání seznamu služeb na vzdáleném počítači pomocí konzole services.msc se uživateli zobrazí chyba:
Windows se nepodařilo otevřít databázi správce řízení služeb na computer_name
Chyba 5: Přístup byl odepřen.
Pokud se pokusíte seznam služeb na vzdáleném serveru pomocí obslužného programu sc.exe, chyba je následující:
C: \ Windows \ system32> sc \\ obts-01 dotaz
Přístup byl odepřen.
Možnost přístupu k seznamu služeb je řízena popisovačem zabezpečení databáze Service Control Manager, jehož vzdálený přístup pro uživatele „Authenticated Users“ byl v systému Windows 2003 SP1 omezen (což je obecně logické). Vzdálená přístupová práva k této službě mají pouze členové skupiny místních správců.
Podívejme se, jak poskytnout vzdálený přístup ke službě Service Control Manager a získat seznam serverových služeb a možnost získání jejich stavu pro běžné uživatele (bez oprávnění správce) pomocí příkladu systému Windows Server 2012 R2.
Oprávnění správce aktuálních služeb (SCM) lze získat pomocí obslužného programu sc.exe, provedením na příkazovém řádku spuštěném jako správce:
sc sdshow scmanager
Příkaz vrátí něco jako tento řádek SDDL:
D: (A;; CC;;; AU) (A;; CCLCRPRC ;;; IU) (A;; CCLCRPRC ;;; SU) (A;; CCLCRPWPRC ;;; SY) (A ;; KA ;; .; BA) (A;; CC;;; AC) S: (AU; FA; KA ;;; WD) (AU; OIIOFA; GA ;;; WD)
V tomto případě je vidět, že ve výchozím nastavení je skupina Authenticated Users (AU) povolena pouze k připojení k SCM, ale nikoli k průzkumu (LC). Zkopírujte řádek do okna libovolného testovacího editoru.
Dalším krokem je získání SID uživatele nebo skupiny, které chceme poskytnout vzdálený přístup k SCM (Jak získat SID uživatele jménem). Například dostaneme SID AD skupiny msk-hd takto:
Get-ADgroup -Identity 'msk-hd' | vyberte SID
SID
---
S-1-5-21-2470146451-3958456388-2988885117-23703978
V textovém editoru v řádku SDDL musíte zkopírovat blok (A ;;CCLCRPRC ;;;IU) - (IU - znamená Interaktivní uživatelé)), nahraďte v zkopírovaném bloku IU uživatelem SID uživatele / skupiny a vložte přijatý řádek před S:.
V našem případě jsme dostali následující řádek:
D: (A;; CC;;; AU) (A;; CCLCRPRC ;;; IU) (A;; CCLCRPRC ;;; SU) (A;; CCLCRPWPRC ;;; SY) (A ;; KA ;; .; BA) (A ;; CC ;;; AC) (A ;; CCLCRPRC ;; .;S-1-5-21-2470146451-3958456388-2988885117-23703978)S: (AU; FA; KA ;;; WD) (AU; OIIOFA; GA ;;; WD)
A nyní pomocí sc.exe změníme parametry popisovače zabezpečení Správce služeb:
sc sdset scmanager „D: (A;; CC ;;; AU) (A;; CCLCRPRC ;;; IU) (A ;; CCLCRPRC ;;; SU) (A ;; CCLCRPWPRC ;;; SY) (A ;;; KA ;;; BA) (A;; CC ;;; AC) (A;; CCLCRPRC ;;; S-1-5-21-2470146451-3958456388-2988885117-23703978) S: (AU; FA; KA ;;); ; WD) (AU; OIIOFA; GA ;;; WD) “
Řetězec [SC] SetServiceObjectSecurity SUCCESS říká, že nová nastavení zabezpečení byla úspěšně použita, a udělili jsme uživatelská práva podobná právům místně ověřených uživatelů: SC_MANAGER_CONNECT, SC_MANAGER_ENUMERATE_SERVICE, SC_MANAGER_QUERY_LOCK_STATUS a STANDARD_RIGHTS_READ.
Zkontrolujte, zda nyní může vzdálený uživatel získat seznam služeb a jejich stav pomocí konzoly pro správu služeb (services.msc) a pomocí dotazu sc \\ server-name1
Samozřejmě neexistují žádná práva ke správě běžících služeb, protože Přístup ke každé službě je řízen individuálním ACL. Chcete-li udělit uživatelská práva ke spuštění / zastavení serverových služeb, měli byste používat pokyny z článku Udělení práv uživateli k ovládání (spouštění, zastavení, restartování) služeb Windows..
