我有一個 Windows 網域帳戶,我希望能夠修改特定服務的 ACL。目前此帳戶正用於執行安裝程序,安裝程式想要進行 ACL 修改,但失敗。該帳戶是本機管理員帳戶,但顯然由於某些群組原則,它在嘗試修改服務的 ACL 時遇到審核失敗。
我如何向該帳戶授予此權限?如果我可以明確配置服務,我希望不必修改群組原則。
我很感謝任何指點,但特別是完整的答案,因為其中一些概念對我來說相當新。
新的資訊:
我能夠實現這個目標,但可能太過寬泛......特別是我使用“sc sdshow”和“sc sdset”修改了服務的安全描述符,並為該帳戶授予了我能想到的所有權限在SDDL 字串中...特別是這些:CCDCLCSWRPWPDTLOCRSDRCWDWO
有誰知道其中哪一個實際上對應於我正在尋找的「修改 ACL」權限?
還有人知道我制定的群組原則是什麼導致了這個問題(因為如果沒有群組策略,問題就會消失)?
答案1
由於它是乾擾這些權限的群組策略,因此我建議修復群組原則。
您可以透過編輯有問題的群組原則,深入到電腦設定 > Windows 設定 > 安全性設定 > 系統服務 > 從清單中選擇所需的服務,然後前往屬性來執行此操作。編輯安全性...並將「變更權限」新增至「進階」標籤中所需的安全性主體。
如果你因為某些原因不能這樣做,你可以繼續使用sc sdset你現在使用的方法...修改權限是SDDL中的「WD」。請注意,如果有 GPO 覆蓋它,這可能不會持續下去。