Me gustaría poder permitir que el equipo de desarrollo instale servicios en un servidor Win2003. Ya pueden conectarse a través de RDP/FTP con cuentas limitadas, pero me gustaría poder otorgarles privilegios de instalación.
¿Cómo hago eso sin otorgar derechos de administrador?
(Los servicios se crean utilizando .NET framework, por lo que los instalaremos con C:\Windows\Microsoft.NET\Framework\v2.0.50727\installutil.exe)
Respuesta1
El permiso delegado para instalar servicios va a ser un poco complicado. Existe un derecho "SC_MANAGER_CREATE_SERVICE" que se puede otorgar a los usuarios en el objeto del administrador de control de servicios (SCM) en el administrador de objetos global.
En las versiones de Windows hasta Windows Server 2003, los derechos no se podían cambiar en el SCM. A partir de W2K3 SP1, puede cambiar los derechos en el SCM.
La API para cambiar la seguridad esEstablecer seguridad de objeto de servicio, y hay más información disponible aquí:http://msdn.microsoft.com/en-us/library/aa379589(VS.85).aspx
Algunas referencias más sobre: los derechos que se pueden otorgar al SCM y el DACL predeterminado establecido en el SCM están disponibles aquí:http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx
En resumen, no hay forma de hacer esto sin escribir código. No existe una configuración de registro mágica, etc. Sin embargo, si puede conseguir que alguien escriba el código por usted, es totalmente factible.
Respuesta2
Creo que el mayor problema es permitir que el equipo de desarrollo acceda a un servidor que no administran. En lugar de intentar otorgar derechos a los usuarios (SC_MANAGER_CREATE_SERVICE), piense mucho en darles su propia caja, incluso solo una máquina virtual para probar, una vez que digan que está lista, un administrador real debería instalar los servicios en el sistema de producción.
Respuesta3
http://support.microsoft.com/?kbid=288129tiene información sobre la administración de servicios, pero no creo que esto pueda ampliarse para incluir la creación de servicios arbitrarios sin algunos cambios de seguridad importantes en su servidor.
Si crea un servicio o servicios y luego otorga acceso como se describe en la base de conocimientos, sus desarrolladores pueden detener el servicio y copiar nuevos archivos binarios, para que puedan desarrollar/depurar servicios incluso si usted tiene que crearlos en primer lugar.
Personalmente, restringo a nuestros desarrolladores a un servidor de prueba y les concedo acceso de administrador. ¡Los pequeños queridos no tienen acceso a mis servidores en vivo sin antes convencerme de que sus cosas están funcionando!
J.R.