Tengo una cuenta de dominio de Windows y me gustaría poder modificar la ACL de un servicio en particular. Actualmente, esta cuenta se está utilizando para ejecutar un instalador y el instalador quiere realizar las modificaciones de ACL pero falla. La cuenta es un administrador local en el cuadro, pero aparentemente debido a alguna política de grupo está experimentando una falla de auditoría mientras intenta modificar la ACL de un servicio.
¿Cómo puedo otorgar este permiso a esta cuenta? Preferiría no tener que modificar la política de grupo si pudiera configurar explícitamente el servicio.
Agradezco cualquier sugerencia, pero especialmente las respuestas completas, ya que algunos de estos conceptos son bastante nuevos para mí.
Nueva información:
Pude lograr este objetivo, pero probablemente con un trazo demasiado amplio... en particular modifiqué el descriptor de seguridad del servicio, usando "sc sdshow" y "sc sdset", y le di a la cuenta todos los permisos que pude imaginar. en la cadena SDDL... en particular estos: CCDCLCSWRPWPDTLOCRSDRCWDWO
¿Alguien sabe cuál de ellos corresponde realmente al permiso "modificar ACL" que estaba buscando?
Además, ¿alguien sabe qué política de grupo tengo implementada que estaba creando este problema para empezar (ya que, en ausencia de políticas de grupo, el problema desaparece)?
Respuesta1
Dado que es una política de grupo que interfiere con estos permisos, recomendaría corregir la política de grupo.
Puede hacerlo editando la política de grupo infractora, accediendo a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Servicios del sistema > Elija el servicio que desee de la lista y vaya a Propiedades. Edite Seguridad... y agregue "Cambiar permisos" a la entidad de seguridad que desee en la pestaña Avanzado.
Si no puede hacerlo por algún motivo, puede seguir usando el sc sdsetmétodo que está usando ahora... modificar permisos es "WD" en SDDL. Tenga en cuenta que esto probablemente no se mantendrá si hay un GPO que lo anula.