У меня есть учетная запись домена Windows, с помощью которой я хотел бы иметь возможность изменять ACL определенной службы. В настоящее время эта учетная запись используется для запуска установщика, и установщик хочет внести изменения в ACL, но у него ничего не получается. Учетная запись является локальным администратором на коробке, но, по-видимому, из-за какой-то групповой политики она сталкивается с ошибкой аудита, когда пытается изменить ACL службы.
Как мне предоставить это разрешение этой учетной записи? Я бы предпочел не изменять групповую политику, если бы я мог просто явно настроить службу.
Я буду признателен любым указаниям, но особенно за полные ответы, поскольку некоторые из этих концепций для меня совершенно новы.
Новая информация:
Мне удалось достичь этой цели, но, вероятно, я применил слишком широкий подход... в частности, я изменил дескриптор безопасности для службы, используя "sc sdshow" и "sc sdset", и предоставил учетной записи все разрешения, которые только мог придумать в строке SDDL... в частности, эти: CCDCLCSWRPWPDTLOCRSDRCWDWO
Кто-нибудь знает, какое из них на самом деле соответствует разрешению «изменить ACL», которое я искал?
Также кто-нибудь знает, какая групповая политика у меня установлена и изначально создавала эту проблему (поскольку при отсутствии групповых политик проблема исчезает)?
решение1
Поскольку групповая политика мешает этим разрешениям, я бы рекомендовал исправить групповую политику.
Это можно сделать, отредактировав проблемную групповую политику, перейдя в Конфигурация компьютера > Параметры Windows > Параметры безопасности > Системные службы > Выберите нужную службу из списка и перейдите в Свойства. Изменить безопасность... и добавьте «Изменить разрешения» для нужного участника безопасности на вкладке «Дополнительно».
Если по какой-то причине вы не можете этого сделать, вы можете продолжать использовать метод, sc sdsetкоторый вы используете сейчас... изменение разрешений - это "WD" в SDDL. Будьте осторожны, это, вероятно, не будет работать, если есть GPO, переопределяющий его.