Eu tenho uma conta de domínio do Windows e gostaria de poder modificar a ACL de um serviço específico. Atualmente esta conta está sendo usada para executar um instalador e o instalador deseja fazer as modificações da ACL, mas está falhando. A conta é um administrador local na caixa, mas aparentemente devido a alguma política de grupo ela está enfrentando uma falha de auditoria ao tentar modificar a ACL de um serviço.
Como posso conceder essa permissão a esta conta? Eu preferiria não ter que modificar a política de grupo se pudesse configurar explicitamente o serviço.
Agradeço qualquer indicação, mas especialmente respostas completas, já que alguns desses conceitos são bastante novos para mim.
Nova informação:
Consegui atingir esse objetivo, mas provavelmente com um golpe muito amplo... em particular, modifiquei o descritor de segurança do serviço, usando "sc sdshow" e "sc sdset", e dei à conta todas as permissões que pude imaginar. na string SDDL ... em particular estes: CCDCLCSWRPWPDTLOCRSDRCWDWO
Alguém sabe qual delas realmente corresponde à permissão "modificar ACL" que eu estava procurando?
Alguém também sabe qual política de grupo eu tenho que estava criando esse problema para começar (já que na ausência de políticas de grupo o problema desaparece)?
Responder1
Como é uma política de grupo que interfere nessas permissões, recomendo corrigir a política de grupo.
Você pode fazer isso editando a política de grupo ofensiva, indo até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Serviços do Sistema > Escolha o serviço desejado na lista e vá para Propriedades. Edite Segurança... e adicione "Alterar permissões" à entidade de segurança desejada na guia Avançado.
Se você não puder fazer isso por algum motivo, poderá continuar usando o sc sdsetmétodo que está usando agora... modificar as permissões é "WD" em SDDL. Tenha cuidado, pois isso provavelmente não funcionará, se houver um GPO substituindo-o.