Ist es möglich, den Nur-Lese-Modus zuzulassen, sodass jemand die Verwaltungskonsole verwenden kann, um „eine Verbindung zu einem anderen Computer herzustellen“ und die laufenden Dienste zu sehen? Dies ist ein Win2008-Server und die Benutzer haben keine Rechte, außer die Möglichkeit, die Windows-Dienste zu sehen. Oder gibt es eine bessere Möglichkeit, dasselbe zu erreichen?
Antwort1
Jeder Dienst hat eine ACL. Diese steuert, wer den Status sehen, stoppen/starten und konfigurieren kann. Es gibt keine integrierte Benutzeroberfläche, die Zugriff darauf gewährt, aber sc.exe sdshow service" will show the ACL in [SDDL][1] form, themit sdset command forsc.exe` lässt sich die ACL festlegen.
Basierend auf der Standardeinstellung für einen Dienst, den ich mir angesehen habe („Windows Search“), können alle interaktiven Benutzer diesen Dienst abfragen, aber für Windows Update ist der Zugriff anders und basiert auf allen Benutzern (d. h. sowohl remote als auch lokal angemeldet).
Da die Zugriffsrechte-Flags symbolisch, aber generisch erweitert werden, ist es notwendig, das zugrunde liegende Bitmuster auszuarbeiten, um es in Service zu übersetzenACE-Flaggennamen.
(Es gibt einen interaktiven ACL-Editor für Dienste, wenn Sie Gruppenrichtlinien verwenden, um die Dienstkonfiguration durchzusetzen.)
Antwort2
http://www.windowsecurity.com/articles/Group-Policy-related-changes-Windows-Server-2008-Part3.html
Letzter Eintrag in „Tabelle 2…“