Можно ли разрешить режим только для чтения, чтобы кто-то использовал консоль управления для «подключения к другому компьютеру» и просмотра запущенных служб? Это сервер Win2008, и у пользователей не будет никаких прав, кроме возможности видеть службы Windows. Или есть лучший способ добиться того же?
У каждой службы есть ACL. Это контролирует, кто может видеть статус, останавливать / запускать и настраивать. Для доступа к нему нет встроенного пользовательского интерфейса, но sc.exe sdshow service" will show the ACL in [SDDL][1] form, thesdsetcommand forsc.exe` позволяет установить ACL.
Исходя из значения по умолчанию для одной службы, которую я просматривал («Поиск Windows»), все интерактивные пользователи могут запрашивать эту службу, но для Центра обновления Windows доступ различен и основан на всех пользователях (т.е. удаленных, а также вошедших локально).
Поскольку флаги прав доступа расширяются символически, но в общем случае необходимо будет разработать базовый битовый шаблон для преобразования в службу Имена флагов ACE.
(При использовании групповой политики для принудительной настройки служб существует интерактивный редактор ACL служб.)
http://www.windowsecurity.com/articles/Group-Policy-related-changes-Windows-Server-2008-Part3.html
Последняя запись в «Таблице 2 ...»