Можно ли использовать групповую политику для предоставления разрешения на управление службами Windows?

Вы определенно можете использовать групповую политику, чтобы предоставить пользователям права на запуск / остановку служб. Вам просто нужно изменить дескриптор безопасности в службе, используя расширение на стороне клиента групповой политики «Безопасность».

Очень небольшое предостережение: я видел случаи, когда некоторым службам не нравилось разрешение по умолчанию, которое модификация на основе групповой политики помещает в службу (посмотрите эту публикацию о службе поиска Windows, если вы хотите понять, о чем я говорю около: http://peeved.org/blog/2007/12/07), но по моему опыту это было необычно.

Чтобы «увидеть» службу в редакторе групповой политики, вам необходимо выполнить редактирование на компьютере, на котором установлена ​​служба. (Если это стандартная служба Windows, то в этом нет ничего страшного, но если это что-то стороннее, подключитесь к машине, на которой она установлена, "запустите" копию MMC и подключите редактор групповой политики, нацеленный на GPO. куда вы хотите поместить эти настройки.)

В разделе «Параметры компьютера», «Параметры Windows», «Параметры безопасности» и «Системные службы» найдите службу, которой вы хотите предоставить разрешение на запуск / остановку, и определите параметр политики. Вы должны выбрать тип запуска. Нажмите «Изменить безопасность» и измените ACL по умолчанию, включив в него нужные вам разрешения.

Я бы рекомендовал протестировать GPO на ограниченной группе компьютеров (либо путем связывания GPO с тестовым OU с одним компьютером, либо путем фильтрации GPO только на один компьютер) и убедиться, что он делает то, что вы хотите, перед тем, как идти. изменение безопасности на всех ваших компьютерах только для того, чтобы обнаружить, что он не делает того, что вы хотите.

Вот некоторые сведения о том, что различные записи в ACE означают для служб:

• http://support.microsoft.com/kb/914392
• http://msmvps.com/blogs/alunj/archive/2006/02/13/83472.aspx

Чтобы увидеть дескрипторы в нотации SDDL, используйте команду sc sdshow service-name.

Редактировать:

Делегировать разрешение на создание новых сервисов будет немного сложно. Существует право «SC_MANAGER_CREATE_SERVICE», которое может быть предоставлено пользователям в объекте диспетчера управления службами (SCM) в диспетчере глобальных объектов.

В версиях Windows до Windows Server 2003 нельзя было изменить права на SCM. Начиная с W2K3 SP1, вы можете изменять права на SCM.

API для изменения безопасности SetServiceObjectSecurity, и дополнительная информация доступна здесь: http://msdn.microsoft.com/en-us/library/aa379589(VS.85).aspx

Еще несколько справок по поводу прав, которые могут быть предоставлены SCM, и DACL по умолчанию, установленного для SCM, доступны здесь: http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx

Короче говоря, без написания кода сделать это невозможно. Нет никаких волшебных настроек реестра и т. Д. Если вы можете заставить кого-нибудь написать для вас код, это вполне осуществимо.

Взгляните на эти статьи базы знаний в Microsoft - Как настроить групповые политики для установки безопасности для системных служб и Как предоставить пользователям права на управление службами в Windows 2000 в котором обсуждаются альтернативные методы предоставления доступа для управления услугами.

Надеюсь это поможет.

Решение, предоставленное Microsoft, охватывает только системы Windows 2000, как говорится в конце статьи, хотя решение действительно для всех их ОС.

Как добавить сторонние службы к системным службам в групповой политике

Так что это огромный шаг назад к идее централизации инфраструктуры групповой политики, выпущенной вместе с Windows 2008 R2.

Как создать центральное хранилище для файлов административных шаблонов групповой политики в Windows Vista