需要允许标准用户为e1iexpress运行sc stop / sc start命令

1

我们遇到的一个问题是,在我们的计算机上,当笔记本电脑从一个地方移动到另一个地方时,我们的互联网驱理论上,我们可以通过给用户一个脚本来重新启动sc stop和sc start来解决这个问题。在实践中,我们无法为用户提供管理员权限,任何涉及/ SaveCred的方法都会非常耗费时间,因为我们这里有很多计算机。 (除非我们可以在服务器上使用SaveCred一次并让每个人只访问该批处理文件?我不知道这是否有效。)

我们使用Active Directory后端运行Win10。任何帮助将非常感激。 :)

drivers  permissions  batch  active-directory 
J.Swersey
source

Answers:

1

服务(包括司机)有一个 安全描述符 ,换句话说,ACL,类似于文件和文件夹。这描述了哪些用户可以使用哪些控件(启动,停止,暂停等)

您可以通过检索原始安全描述符 sc sdshow <svcname>,使用新的访问权限更新它,然后使用 sc sdset ... 把它存回来。看到 这个ServerFault线程 有关手动执行此操作的说明。

您可以 大概 通过组策略设置服务权限。不幸的是,策略编辑器似乎只列出了内置的Windows服务(无法输入自定义名称),尽管从技术上讲,它没有理由不能编辑它们。

还存在第三方程序以图形方式编辑服务ACL。就个人而言,我会使用“Process Hacker”在一台计算机上构建所需的SD,然后通过它获取 sc sdshow 并分发。还有SubInACL,可能是PowerShell 设置的ACL

也可以看看:

grawity
source
1
理论上,我应该能够使用域控制器将sc sdset命令抛出到启动脚本中,并为Authenticated Users提供使用RP / WP启动/停止这些命令的权限。这有效,但是当我试图实际停止服务时,错误从“拒绝访问”转移到[SC] ControlService FAILED 1052:请求的控件对此服务无效。哪个是...... 。所以这可能是浪费时间。但非常感谢答案! :)
J.Swersey
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.