Ich habe ein Windows-Domänenkonto, mit dem ich die ACL eines bestimmten Dienstes ändern möchte. Derzeit wird dieses Konto zum Ausführen eines Installationsprogramms verwendet, und das Installationsprogramm möchte die ACL-Änderungen vornehmen, schlägt jedoch fehl. Das Konto ist ein lokaler Administrator auf der Box, aber anscheinend tritt aufgrund einer Gruppenrichtlinie ein Prüffehler auf, wenn versucht wird, die ACL eines Dienstes zu ändern.
Wie kann ich diesem Konto diese Berechtigung erteilen? Ich möchte die Gruppenrichtlinie lieber nicht ändern müssen, wenn ich den Dienst einfach explizit konfigurieren kann.
Ich freue mich über jeden Hinweis, vor allem aber über umfassende Antworten, da einige dieser Konzepte für mich ziemlich neu sind.
Neue Informationen:
Ich konnte dieses Ziel erreichen, aber wahrscheinlich mit einem zu groben Strich ... insbesondere habe ich den Sicherheitsdeskriptor für den Dienst mithilfe von „sc sdshow“ und „sc sdset“ geändert und dem Konto jede Berechtigung erteilt, die mir in der SDDL-Zeichenfolge einfiel ... insbesondere diese: CCDCLCSWRPWPDTLOCRSDRCWDWO
Weiß jemand, welche davon tatsächlich der Berechtigung zum „Ändern der ACL“ entspricht, nach der ich gesucht habe?
Weiß außerdem jemand, welche meiner Gruppenrichtlinien dieses Problem ursprünglich verursacht hat (da das Problem ohne Gruppenrichtlinien verschwindet)?
Antwort1
Da es sich um eine Gruppenrichtlinie handelt, die diese Berechtigungen beeinträchtigt, würde ich empfehlen, die Gruppenrichtlinie zu reparieren.
Sie können dies tun, indem Sie die fehlerhafte Gruppenrichtlinie bearbeiten, indem Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste navigieren. Wählen Sie den gewünschten Dienst aus der Liste aus und gehen Sie zu Eigenschaften. Bearbeiten Sie Sicherheit... und fügen Sie auf der Registerkarte „Erweitert“ dem gewünschten Sicherheitsprinzipal die Option „Berechtigungen ändern“ hinzu.
Wenn Sie das aus irgendeinem Grund nicht tun können, können Sie weiterhin die sc sdsetMethode verwenden, die Sie jetzt verwenden. Berechtigungen ändern heißt in SDDL „WD“. Beachten Sie jedoch, dass dies wahrscheinlich nicht beibehalten wird, wenn es eine GPO gibt, die es überschreibt.