특정 서비스의 ACL을 수정하고 싶은 Windows 도메인 계정이 있습니다. 현재 이 계정은 설치 프로그램을 실행하는 데 사용되고 있으며 설치 프로그램이 ACL 수정을 수행하려고 하지만 실패합니다. 계정은 기본적으로 로컬 관리자이지만 일부 그룹 정책으로 인해 서비스의 ACL을 수정하려고 시도할 때 감사 오류가 발생한 것 같습니다.
이 계정에 이 권한을 부여하려면 어떻게 해야 합니까? 서비스를 명시적으로 구성할 수만 있다면 그룹 정책을 수정하지 않아도 되기를 바랍니다.
모든 조언에 감사드리며, 이러한 개념 중 일부는 나에게 아주 새로운 것이기 때문에 특히 완전한 답변을 제공합니다.
새로운 정보:
이 목표를 달성할 수 있었지만 아마도 너무 광범위한 스트로크였을 것입니다. 특히 "sc sdshow" 및 "sc sdset"를 사용하여 서비스에 대한 보안 설명자를 수정하고 계정에 제가 생각할 수 있는 모든 권한을 부여했습니다. SDDL 문자열에서 ... 특히 다음은 다음과 같습니다. CCDCLCSWRPWPDTLOCRSDRCWDWO
그 중 내가 찾고 있던 "ACL 수정" 권한에 실제로 해당하는 것이 무엇인지 아는 사람이 있습니까?
또한 처음부터 이 문제를 일으키는 그룹 정책이 무엇인지 아는 사람이 있습니까(그룹 정책이 없으면 문제가 사라지기 때문입니다)?
답변1
이러한 권한을 방해하는 그룹 정책이므로 그룹 정책을 수정하는 것이 좋습니다.
문제가 되는 그룹 정책을 편집하고 컴퓨터 구성 > Windows 설정 > 보안 설정 > 시스템 서비스로 드릴다운하여 목록에서 원하는 서비스를 선택하고 속성으로 이동하면 됩니다. 보안을 편집하고 고급 탭에서 원하는 보안 주체에 "권한 변경"을 추가하세요.
어떤 이유로 그렇게 할 수 없다면 sc sdset지금 사용하고 있는 방법을 계속 사용하면 됩니다... 수정 권한은 SDDL에서 "WD"입니다. 그러나 이를 재정의하는 GPO가 있는 경우에는 이것이 유지되지 않을 수 있다는 점에 유의하십시오.