Я хотел бы позволить группе разработчиков устанавливать службы на сервере Win2003. Они уже могут подключаться через RDP / FTP с ограниченными учетными записями, но я хотел бы иметь возможность предоставлять права на установку.
Как мне это сделать без предоставления прав администратора?
(Службы создаются с использованием платформы .NET, поэтому мы устанавливаем ее с помощью C: \ Windows \ Microsoft.NET \ Framework \ v2.0.50727 \ installutil.exe)
Я думаю, что более серьезная проблема заключается в том, чтобы позволить команде разработчиков получить доступ к серверу, который они не администрируют. Вместо того, чтобы пытаться предоставить права пользователям (SC_MANAGER_CREATE_SERVICE), хорошенько подумайте о том, чтобы дать им их собственный ящик - даже просто виртуальную машину для тестирования, когда они скажут, что она готова, фактический администратор должен установить службы в производственную систему.
Делегировать разрешение на установку служб будет немного сложно. Существует право «SC_MANAGER_CREATE_SERVICE», которое может быть предоставлено пользователям в объекте диспетчера управления службами (SCM) в диспетчере глобальных объектов.
В версиях Windows до Windows Server 2003 нельзя было изменить права на SCM. Начиная с W2K3 SP1, вы можете изменять права на SCM.
API для изменения безопасности SetServiceObjectSecurity, и дополнительная информация доступна здесь: http://msdn.microsoft.com/en-us/library/aa379589(VS.85).aspx
Еще несколько справок по поводу прав, которые могут быть предоставлены SCM, и DACL по умолчанию, установленного для SCM, доступны здесь: http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx
Короче говоря, без написания кода сделать это невозможно. Нет никаких волшебных настроек реестра и т. Д. Если вы можете заставить кого-нибудь написать для вас код, это вполне осуществимо.
http://support.microsoft.com/?kbid=288129 содержит некоторую информацию об управлении службами, но я не думаю, что ее можно расширить, включив создание произвольных служб без каких-либо серьезных изменений безопасности на вашем сервере.
Если вы создаете службу или службы, а затем предоставляете доступ, как описано в базе знаний, ваши разработчики могут остановить службу и скопировать в новые двоичные файлы, чтобы они могли разрабатывать / отлаживать службы, даже если вам нужно их создать в первую очередь.
Лично я ограничиваю наших разработчиков тестовым сервером и предоставляю им права администратора. Маленькие любимцы не получают доступа к моим живым серверам, не убедив меня сначала, что их вещи работают!
JR