特定のサービスの ACL を変更できるようにしたい Windows ドメイン アカウントがあります。現在、このアカウントはインストーラーを実行するために使用されており、インストーラーは ACL の変更を実行しようとしていますが、失敗しています。アカウントはボックスのローカル管理者ですが、どうやら何らかのグループ ポリシーが原因で、サービスの ACL を変更しようとすると監査エラーが発生します。
このアカウントにこの権限を付与するにはどうすればいいでしょうか? サービスを明示的に構成できれば、グループ ポリシーを変更する必要がないようにしたいと思います。
これらの概念のいくつかは私にとってまったく新しいものなので、どんな指摘でもありがたいのですが、特に完全な回答をいただければ幸いです。
新情報:
私はこの目標を達成できましたが、おそらく範囲が広すぎました...特に、"sc sdshow" と "sc sdset" を使用してサービスのセキュリティ記述子を変更し、SDDL 文字列で考えられるすべての権限をアカウントに付与しました...特に次の権限です: CCDCLCSWRPWPDTLOCRSDRCWDWO
私が探していた「ACL の変更」権限に実際に対応するものはどれか、誰か知っていますか?
また、そもそもこの問題を引き起こしたグループ ポリシーが何であるかを知っている人はいますか (グループ ポリシーがなければ問題は解決します)?
答え1
これらの権限に干渉しているのはグループ ポリシーなので、グループ ポリシーを修正することをお勧めします。
これを行うには、問題のあるグループ ポリシーを編集し、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [システム サービス] にドリルダウンして、リストから必要なサービスを選択し、[プロパティ] に移動します。[セキュリティを編集...] をクリックし、[詳細設定] タブで必要なセキュリティ プリンシパルに「アクセス許可の変更」を追加します。
何らかの理由でそれができない場合は、sc sdset現在使用している方法を引き続き使用できます...アクセス許可の変更は、SDDL では「WD」です。ただし、これを上書きする GPO がある場合は、これが機能しない可能性があることに注意してください。