Можно ли разрешить режим только для чтения, чтобы кто-то мог использовать консоль управления для «подключения к другому компьютеру» и просмотра запущенных служб? Это сервер Win2008, и у пользователей не будет никаких прав, кроме возможности просматривать службы Windows. Или есть лучший способ добиться того же?
решение1
У каждой службы есть ACL. Это контролирует, кто может видеть статус, останавливать/запускать и настраивать. Встроенного пользовательского интерфейса для предоставления доступа к нему нет, но sc.exe sdshow service" will show the ACL in [SDDL][1] form, thesdset command forsc.exe` позволяет устанавливать ACL.
Согласно настройкам по умолчанию для одной из рассмотренных мной служб («Поиск Windows»), все интерактивные пользователи могут запрашивать эту службу, но для Центра обновления Windows доступ отличается и предоставляется всем пользователям (т. е. как удаленным, так и вошедшим в систему локально).
Поскольку флаги прав доступа расширяются символически, но в общем случае необходимо будет разработать базовую битовую комбинацию для перевода в сервисИмена флагов ACE.
(При использовании групповой политики для принудительного конфигурирования служб имеется интерактивный редактор ACL служб.)
решение2
http://www.windowsecurity.com/articles/Group-Policy-related-changes-Windows-Server-2008-Part3.html
Последняя запись в «Таблице 2...»