У меня есть учетная запись домена Windows, в которой я хотел бы иметь возможность изменять ACL определенной службы. В настоящее время эта учетная запись используется для запуска установщика, и установщик хочет внести изменения в ACL, но это не удается. Учетная запись является локальным администратором на коробке, но, видимо, из-за какой-то групповой политики он испытывает сбой аудита при попытке изменить ACL службы.
Как я могу предоставить это разрешение этой учетной записи? Я бы предпочел не изменять групповую политику, если я могу просто явно настроить службу.
Я ценю любые указатели, но особенно полные ответы, поскольку некоторые из этих концепций для меня совершенно новы.
Новая информация:
Я смог достичь этой цели, но, вероятно, слишком широко ... в частности, я изменил дескриптор безопасности для службы, используя "sc sdshow" и "sc sdset", и дал учетной записи все разрешения, которые я мог придумать. в строке SDDL ... в частности, это: CCDCLCSWRPWPDTLOCRSDRCWDWO
Кто-нибудь знает, какое из них действительно соответствует разрешению на изменение ACL, которое я искал?
Также кто-нибудь знает, какая у меня групповая политика, которая изначально создавала эту проблему (поскольку в отсутствие групповых политик проблема исчезает)?
Поскольку этим разрешениям мешает групповая политика, я бы рекомендовал исправить групповую политику.
Вы можете сделать это, отредактировав ошибочную групповую политику, перейдя к Конфигурация компьютера> Настройки Windows> Настройки безопасности> Системные службы> Выберите нужную службу из списка и перейдите в Свойства. Измените безопасность ... и добавьте «Изменить разрешения» для участника безопасности, которого вы хотите, на вкладке «Дополнительно».
Если по какой-то причине вы не можете этого сделать, вы можете продолжать использовать sc sdset метод, который вы используете сейчас ... изменение разрешений - это "WD" в SDDL. Имейте в виду, что это, вероятно, не прижится, если его переопределит объект групповой политики.