Настройка прав пользователя windows server 2016

Обновлено: 04.07.2024

По умолчанию только члены группы «Администраторы домена» имеют удаленный доступ RDP к рабочему столу контроллеров домена Active Directory. В этой статье мы покажем, как предоставить RDP-доступ к контроллерам домена для учетных записей пользователей, не являющихся администраторами, без предоставления прав администратора.

Многие из вас вполне резонно могут задаться вопросом: а зачем обычным пользователям домена доступ к рабочему столу ДЦ? Ведь в инфраструктурах малого или среднего размера, когда их обслуживает несколько администраторов с привилегиями администраторов домена, это вряд ли понадобится. В большинстве случаев достаточно делегирования некоторых административных разрешений в Active Directory или использования PowerShell Just Enough Administration (JEA).

Однако в крупных корпоративных сетях, обслуживаемых многими администраторами, может возникнуть необходимость предоставить RDP-доступ к контроллеру домена (обычно к контроллеру домена филиала или контроллеру домена только для чтения) для различных групп администраторов серверов, группы мониторинга, дежурных администраторов или других лиц. технические кадры. Кроме того, время от времени некоторые сторонние сервисы, не управляемые администраторами домена, развертываются на контроллере домена, и возникает необходимость в обслуживании этих сервисов.

Совет. Microsoft не рекомендует устанавливать доменные службы Active Directory и роль службы удаленных рабочих столов (сервер терминалов) на одном сервере. Если есть только один физический сервер, на котором вы хотите развернуть и DC, и RDS, лучше использовать виртуализацию, так как политика лицензирования виртуализации Microsoft позволяет запускать два виртуальных сервера под одной лицензией Windows Server Standard.

Для удаленного входа вам нужны права на вход через службы удаленных рабочих столов

После того, как сервер был повышен до контроллера домена, вы не можете управлять локальными пользователями и группами с помощью оснастки управления компьютером mmc. При попытке открыть консоль «Локальные пользователи и группы» ( lusrmgr.msc ) появляется следующая ошибка:

Компьютер xxx является контроллером домена. Этот фрагмент нельзя использовать на контроллере домена. Управление учетными записями домена осуществляется с помощью оснастки Active Directory Users and Computers.

Как видите, на контроллере домена нет локальных групп. Вместо локальной группы Пользователи удаленного рабочего стола контроллер домена использует встроенную доменную группу Пользователи удаленного рабочего стола (находится в контейнере Builtin). Вы можете управлять этой группой из консоли ADUC или из командной строки контроллера домена.

Отобразите членов доменной группы Пользователи удаленного рабочего стола на контроллере домена с помощью команды:

net localgroup "Пользователи удаленного рабочего стола"

Как видите, он пуст. Добавьте в него пользователя домена it-pro (в нашем примере это обычный пользователь домена без прав администратора):

net localgroup "Пользователи удаленного рабочего стола" /add corp\it-pro

Убедитесь, что пользователь добавлен в эту группу:

net localgroup "Пользователи удаленного рабочего стола"

net localgroup

Вы также можете убедиться, что пользователь теперь является членом доменной группы пользователей удаленного рабочего стола, с помощью оснастки ADUC ( dsa.msc ).

встроенный домен группа «Пользователи удаленного рабочего стола» width=

Однако даже после этого пользователь по-прежнему не может подключиться к контроллеру домена через удаленный рабочий стол с ошибкой:

Для удаленного входа вам необходимо право на вход через службы удаленных рабочих столов. По умолчанию этим правом обладают члены группы «Администраторы». Если группа, в которую вы входите, не имеет права или если право было удалено из группы администраторов, вам необходимо предоставить право вручную.

вам нужны права на службы удаленного рабочего стола

Групповая политика: разрешить вход через службы удаленных рабочих столов

Чтобы разрешить пользователю домена или группе удаленное подключение RDP к Windows, необходимо предоставить ему привилегии SeRemoteInteractiveLogonRight. По умолчанию этим правом обладают только члены группы «Администраторы». Это разрешение можно предоставить с помощью политики Разрешить вход через службы удаленных рабочих столов.

Чтобы разрешить удаленное подключение к контроллерам домена для членов группы «Пользователи удаленного рабочего стола», вам необходимо изменить настройки этой политики на вашем контроллере домена:

  1. Запустите редактор локальной групповой политики ( gpedit.msc );
  2. Перейдите в раздел GPO «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Назначение прав пользователя»;
  3. Найдите политику Разрешить вход через службы удаленных рабочих столов;

После повышения роли сервера до контроллера домена в этой локальной политике остается только группа Администраторы (это администраторы домена).

Обратите внимание, что группа, которую вы добавили в политику «Разрешить вход в систему через службы удаленных рабочих столов», не должна присутствовать в политике «Запретить вход в систему через службы удаленных рабочих столов», поскольку она имеет более высокий приоритет (см. статью Ограничение доступа к сети). под локальными аккаунтами). Кроме того, если вы ограничиваете список компьютеров, на которых пользователи могут входить в систему, вам необходимо добавить имя контроллера домена в свойства учетной записи AD (атрибут пользователя LogonWorkstations).

Примечание. Чтобы разрешить пользователю локальный вход на контроллер домена (через консоль сервера), необходимо добавить учетную запись или группу в политику «Разрешить локальный вход». По умолчанию это разрешение разрешено для следующих групп домена:

  • Операторы резервного копирования
  • Администраторы
  • Операторы печати
  • Операторы серверов
  • Операторы аккаунта

Лучше создать в домене новую группу безопасности, например, AllowLogonDC, и добавить в нее учетные записи пользователей, которым необходим удаленный доступ к контроллеру домена. Если вы хотите разрешить доступ ко всем контроллерам домена AD сразу, вместо редактирования локальной политики на каждом контроллере домена лучше добавить группу пользователей в политику контроллеров домена по умолчанию с помощью консоли GPMC.msc (изменить параметры политики в том же разделе: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя -> Разрешить вход через службы удаленных рабочих столов).

Предупреждение. Если вы изменяете политику контроллеров домена по умолчанию, не забудьте добавить группы администраторов домена/предприятия в политику Разрешить вход через службы удаленных рабочих столов, иначе они потеряют удаленный доступ к контроллерам домена.

Теперь пользователи (группы), добавленные вами в политику, смогут подключаться к контроллерам домена AD через RDP.

Если вам нужно предоставить пользователям без прав администратора разрешения на запуск/остановку определенных служб на контроллере домена, воспользуйтесь следующим руководством.

Отказано в доступе к запрошенному сеансу RDP

В некоторых случаях при подключении по RDP к контроллеру домена может появиться ошибка:

запрошенный доступ к сеансу rdp запрещен

Если вы подключаетесь к контроллеру домена под учетной записью пользователя без прав администратора, это может быть связано с двумя проблемами:

В моем предыдущем посте «Функции безопасности Windows Server и рекомендации» я рассказал о встроенных функциях, которые можно использовать для повышения безопасности вашей организации. Сегодня я сосредоточусь на одном из основных механизмов безопасности в Windows: параметрах политики безопасности, в частности, локальных политиках/назначении прав пользователей в Windows Server 2016.

Леос начал работать в ИТ-индустрии в 1995 году. Последние 15 лет он занимался администрированием и безопасностью Windows Server, VMware. Леос — внештатный эксперт, работающий в банковских учреждениях. Он также руководит ИТ-аутсорсинговой компанией в Йичине, Чешская Республика.

  • Советы по управлению исправлениями: обновление ИТ-систем в больших и малых сетях — среда, 20 октября 2021 г.
  • Настройка Windows 11 Домашняя с автономной учетной записью — понедельник, 18 октября 2021 г.
  • Сброс пароля Windows 11 и пароля администратора Windows Server 2022 — понедельник, 20 сентября 2021 г.
  • Объекты групповой политики (GPO) — используются в доменах Active Directory для настройки и регулярного повторного применения параметров безопасности к нескольким компьютерам.
  • Локальная политика безопасности (secpol.msc) — используется для настройки одного (локального) компьютера. Обратите внимание, что это разовое действие. Если другой администратор изменит эти параметры, вам нужно будет вручную вернуть их в нужное состояние.

Поскольку большинство организаций используют домен Active Directory, предпочтительно применять параметры безопасности с помощью групповых политик. В вашем домене должно быть создано и связано не менее трех базовых показателей безопасности на основе следующих типов компьютеров:

Настройка назначения прав пользователей с помощью Goup Policy

Если на этих компьютерах работает несколько версий операционных систем (ОС), вам следует создать отдельные базовые показатели для каждой версии ОС, поскольку некоторые настройки могут быть недоступны. Это также обеспечивает более строгую настройку для старых систем, поскольку они обычно менее безопасны.

Встроенные локальные участники и группы безопасности ^

Рекомендуется настраивать политики безопасности, используя только встроенные локальные участники и группы безопасности, и добавлять в эти объекты необходимых участников.Это дает вам гораздо лучшую видимость и гибкость, поскольку GPO предоставляет больше возможностей для управления членами локальной группы, чем для управления членами политики безопасности. Например, невозможно добавить в политику безопасности группу, имя которой генерируется с помощью системных переменных (например, LAB\LocalAdmins_%COMPUTERNAME%); однако эту группу можно добавить в саму группу администраторов.

Политики безопасности не поддерживают сгенерированные имена групп

Политики безопасности не поддерживают сгенерированные имена групп

В этой статье используются следующие группы:

  • Администраторы. Члены этой группы имеют полный неограниченный доступ к компьютеру. Даже если вы удалите некоторые привилегии из группы «Администраторы», опытный администратор все равно сможет обойти эти настройки и получить контроль над системой. Добавляйте в эту группу только тех, кому доверяете.
  • Аутентифицированные пользователи — специальный участник безопасности, который применяется к любому сеансу, который был аутентифицирован с использованием какой-либо учетной записи, например локальной или доменной учетной записи.
  • Локальная учетная запись и член группы администраторов — псевдогруппа, доступная начиная с Windows Server 2012 R2. Он применяется к любой локальной учетной записи в группе «Администраторы» и используется для предотвращения атак с передачей хэша (боковое перемещение).
  • Пользователи удаленного рабочего стола — члены этой группы могут получить доступ к компьютеру через службы удаленного рабочего стола (RDP).
  • Гости. По умолчанию эта группа не имеет разрешений. Я не думаю, что сегодня есть необходимость использовать гостевую учетную запись и группу.

Центр интернет-безопасности ^

Центр интернет-безопасности (CIS) – это известная некоммерческая организация, занимающаяся вопросами кибербезопасности. Чтобы улучшить свои знания о кибербезопасности, вы можете получить доступ к их бесплатным материалам:

    – Набор из 20 основных и расширенных действий кибербезопасности (элементов управления). Используя их, вы можете остановить самые распространенные атаки. – Рекомендации с конкретными шагами настройки и подробными пояснениями. Сравнительные тесты CIS доступны для различных продуктов, таких как Windows Server, SQL Server, Apple iOS и многих других.

Оба можно загрузить в обмен на ваш адрес электронной почты. Не беспокойтесь — никаких писем больше не будет, если вы не решите их получать.

Многие компании и учреждения создают свои базовые стандарты безопасности на основе CIS. Я рекомендую вам прочитать CIS Controls. Это действительно помогло мне понять важность различных действий и настроек безопасности.

CIS Benchmarks пример

Пример показателей СНГ

Локальные политики/Назначение прав пользователя ^

Назначения прав пользователя — это параметры, применяемые к локальному устройству. Они позволяют пользователям выполнять различные системные задачи, такие как локальный вход в систему, удаленный вход в систему, доступ к серверу из сети, выключение сервера и т. д. В этом разделе я объясню наиболее важные параметры и способы их настройки.

Для каждого параметра используется следующий формат:

Название параметра: рекомендуемое значение или значения

Доступ к диспетчеру учетных данных в качестве доверенного вызывающего абонента: никто (пустое значение)

Доступ к диспетчеру учетных данных во время входа в систему предоставляется только пользователю, который входит в систему. Сохраненные учетные данные пользователя могут быть скомпрометированы, если у кого-то есть эта привилегия.

Доступ к этому компьютеру из сети: администраторы, авторизованные пользователи

Необходимо, чтобы пользователи подключались к компьютеру и его ресурсам, таким как общий ресурс SMB, общие принтеры, COM+ и т. д. Если вы удалите это право пользователя на контроллере домена, никто не сможет войти в домен.

Примечание. На контроллерах домена также следует добавить группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ».

Разрешить локальный вход: администраторы

Конфигурация по умолчанию включает группу «Пользователи», которая позволяет обычному пользователю входить в консоль сервера. Предоставьте это право только администраторам.

Разрешить вход через службы удаленных рабочих столов: администраторы, пользователи удаленных рабочих столов

Обычные пользователи обычно используют некоторые приложения через сеансы RDP. Эта привилегия также часто требуется для удаленной помощи, предлагаемой службой поддержки организации. Если на сервере запущены службы удаленных рабочих столов с ролью посредника подключений, к этой привилегии также необходимо добавить группу «Прошедшие проверку».

Примечание. На контроллере домена рекомендуется разрешать подключение через RDP только администраторам.

Резервное копирование файлов и каталогов: администраторы

Это важная привилегия, которая позволяет пользователю обходить разрешения NTFS (только через интерфейс NTFS API, например NTBACKUP).Злоумышленник может создать резервную копию и восстановить данные на другом компьютере, тем самым получив к ним доступ.

Запретить доступ к этому компьютеру из сети/Запретить вход через службы терминалов: локальная учетная запись и член группы администраторов, гости

Значение по умолчанию — только гости. Вы должны добавить вторую группу, чтобы предотвратить атаки с передачей хеша, поэтому, если локальный пользователь с повышенными правами скомпрометирован, его нельзя будет использовать для повышения привилегий на любом другом сетевом ресурсе или для доступа к нему через RDP.

Принудительное завершение работы из удаленной системы/Завершение работы системы: администраторы

Только администраторы должны иметь возможность выключать любой сервер, чтобы предотвратить атаки типа "отказ в обслуживании" (DoS).

Управление журналом аудита и безопасности: администраторы

Это конфиденциальная привилегия, так как любой, у кого есть эти права, может стереть важные свидетельства несанкционированной деятельности.

Примечание. Если вы используете MS Exchange, группу «Серверы Exchange» необходимо добавить к контроллерам домена.

Восстановление файлов и каталогов: администраторы

Злоумышленники с этим правом могут перезаписывать данные или даже исполняемые файлы, используемые законными администраторами, версиями, содержащими вредоносный код.

Вступить во владение файлами или другими объектами: администраторы

Пользователь, имеющий это право, может управлять (владеть) любым объектом, например файлом или папкой, и раскрывать конфиденциальные данные.

Запретить вход в качестве пакетного задания/Запретить вход в качестве службы/Запретить локальный вход в систему: гости

Чтобы повысить безопасность, вы должны включить группу "Гости" в эти три параметра.

Отладка программ/Профиль отдельного процесса/Профиль производительности системы: Администраторы

Этот параметр позволяет пользователю подключить отладчик к системе или процессу, тем самым получив доступ к важным и конфиденциальным данным. Злоумышленники могут использовать его для сбора информации о запущенных критических процессах или о том, какие пользователи вошли в систему.

Изменить системное время: Администраторы, Локальная служба

Изменения системного времени могут привести к проблемам DoS, например к невозможности аутентификации в домене. Роль локальной службы требуется службе времени Windows, службе VMware Tools и другим службам для синхронизации системного времени с хостом DC или ESXi.

Создать объект токена: Никто (пустое значение)

Пользователи, имеющие возможность создавать или изменять токены доступа, могут повышать права любой учетной записи, в которой в данный момент выполнен вход, включая свою собственную.

Выдавать себя за клиента после аутентификации: Администраторы, Локальная служба, Сетевая служба, Служба

Злоумышленник с такими правами может создать службу, обманом заставить клиента подключиться к этой службе, а затем выдать себя за эту учетную запись.

Примечание. Для серверов с Internet Information Services (IIS) также необходимо добавить учетную запись "IIS_IUSRS".

Загрузка и выгрузка драйверов устройств: администраторы

Может быть установлен вредоносный код, выдающий себя за драйвер устройства. Администраторы должны устанавливать драйверы только с действительной подписью.

Подведение итогов ^

Я надеюсь, что эта статья помогла вам понять, почему важно определить базовый уровень безопасности для ваших систем. Многие параметры уже правильно настроены после развертывания сервера; однако, если они не контролируются объектом групповой политики, ими могут манипулировать злоумышленники. Будьте осторожны, кому вы предоставляете права администратора.

Когда мы настраиваем новый Windows Server, для нас создается учетная запись администратора по умолчанию. Хотя изначально это нормально, вы всегда должны создавать отдельного пользователя для повседневных целей. В этом руководстве вы узнаете, как создать нового пользователя в Windows Server 2016 и разрешить ему использовать RDP (протокол удаленного рабочего стола).

Предпосылки

    или выделенный сервер с установленной Windows Server 2016.
  • Вы должны войти в систему через RDP в качестве пользователя с правами администратора. Если вы используете Windows 10, следуйте нашему руководству о том, как подключиться к серверу с помощью RDP.

Шаг 1. Создайте пользователя

Щелкните правой кнопкой мыши меню "Пуск" и выберите "Управление компьютером" .


Разверните параметр "Локальные пользователи и группы" и нажмите "Пользователи" .


Нажмите правой кнопкой мыши и выберите Новый пользователь .

Теперь введите данные новой учетной записи пользователя, которую вы хотите создать. Отключите параметр «Пользователь должен изменить пароль при следующем входе в систему» ​​и включите параметр «Срок действия пароля не ограничен», чтобы вы могли использовать свой пароль без постоянных напоминаний Windows о его изменении.


Нажмите «Создать», чтобы завершить добавление нового пользователя. Запомните имя пользователя, которое вы выбрали здесь, потому что оно понадобится вам позже!

Шаг 2. Добавьте пользователя в список пользователей удаленного рабочего стола

Нажмите «Группы» и выберите «Пользователи удаленного рабочего стола» . Добавление нашего вновь созданного пользователя в эту группу позволит ему получить доступ к серверу через RDP.


Дважды щелкните параметр «Пользователи удаленного рабочего стола» и нажмите «Добавить» .


Введите созданное ранее имя пользователя в поле «Введите имена объектов для выбора» и нажмите «Проверить имена» .


Вы увидите свое полное имя пользователя. Дважды нажмите OK, чтобы завершить добавление пользователя в список пользователей удаленного рабочего стола.


Шаг 3. Протестируйте нового пользователя

Отключитесь от сервера и снова войдите под новым именем пользователя, чтобы проверить, все ли работает нормально.

Заключение

Поздравляем. Вы создали нового пользователя и предоставили ему разрешения RDP на вашем Windows Server 2016.

По умолчанию обычные пользователи (не администраторы) не могут управлять службами Windows. Это означает, что пользователи не могут останавливать, запускать, перезапускать или изменять настройки/разрешения служб Windows. В некоторых случаях пользователю необходимо иметь разрешения на перезапуск определенных служб или управление ими. В этой статье мы рассмотрим несколько способов управления разрешениями для служб Windows. В частности, мы покажем вам, как разрешить пользователю без прав администратора запускать, останавливать и перезапускать определенную службу Windows, предоставляя соответствующие разрешения.

Допустим, вам нужно предоставить учетной записи домена contoso\tuser разрешения на перезапуск службы диспетчера очереди печати (имя службы — диспетчер очереди печати). Когда пользователь, не являющийся администратором, пытается перезапустить службу, появляется ошибка:

net stop/start service - системная ошибка 5, доступ запрещен

В Windows нет простого и удобного встроенного инструмента для управления разрешениями для служб. Рассмотрим несколько способов предоставления пользователю прав на управление сервисом:

Настройка разрешений службы Windows с помощью инструмента SC.exe (контроллер службы)

Стандартный встроенный в Windows метод управления разрешениями системных служб предполагает использование инструмента sc.exe (Service Controller). Основной проблемой при использовании этой утилиты является сложный синтаксис формата разрешений службы (формат SDDL — язык определения описания безопасности).

Вы можете получить текущие разрешения для службы Windows в виде строки SDDL следующим образом:

sc.exe sdshow Spooler

sc.exe sdshow Spooler — показать разрешения службы

Что означают все эти символы?

Первая буква после скобок означает: разрешить (A) или запретить (D).

Следующий набор символов — это назначаемые разрешения.

Последние два символа — это объекты (пользователь, группа или SID), которым предоставлены разрешения. Существует список предопределенных групп.

Вместо предопределенной группы вы можете явно указать пользователя или группу по SID. Чтобы получить SID для текущего пользователя, вы можете использовать команду:

Или вы можете найти SID любого пользователя домена с помощью командлета Get-ADUser:

Get-ADUser -Identity 'sadams' | выберите SID

Вы можете получить SID группы безопасности AD с помощью командлета Get-ADGroup:

Чтобы назначить строку разрешений SDDL для конкретной службы, вы можете использовать команду sc sdset. Например, разрешения могут быть предоставлены пользователю с помощью следующей команды:

sc sdset Spooler "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)( A;;RPWPCR;;;S-1-5-21-2133228432-2794320136-1823075350-1000)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Использование SubInACL для разрешения пользователю запуска/остановки/перезапуска службы

Для управления разрешениями службы проще использовать инструмент командной строки SubInACL от Sysinternals (автор Марк Руссинович). Синтаксис этого инструмента намного проще и удобнее. Вот как вы можете предоставить разрешения на перезапуск службы с помощью SubInACL:

Примечание. В этом случае мы предоставили пользователю права приостанавливать (приостанавливать/продолжать), запускать и останавливать (перезапускать) службу. Полный список доступных разрешений службы:

Если вы все сделали правильно, служба должна перезапуститься.

Чтобы отозвать назначенные разрешения службы, используйте параметр /revoke инструмента subinacl.exe. Например:

subinacl.exe /service Spooler /revoke=contoso\tuser

Как изменить разрешение службы Windows с помощью Process Explorer?

Вы можете изменить разрешения службы Windows с помощью еще одной утилиты Sysinternals — Process Explorer. Запустите Process Explorer от имени администратора и найдите процесс нужной вам службы. В нашем примере это spoolsv.exe (исполняемый файл спулера — C:\Windows\System32\spoolsv.exe ). Откройте свойства процесса и перейдите на вкладку Службы.

разрешения службы Process Explorer

Нажмите кнопку Разрешения и добавьте пользователя или группу в открывшемся окне. После этого выберите разрешения, которые вы хотите назначить (Полный доступ/Запись/Чтение).

разрешить управление служба Windows с использованием procexp

Настройка разрешений службы Windows с помощью PowerShell

В галерее TechNet есть отдельный неофициальный модуль PowerShell для управления разрешениями для различных объектов Windows — PowerShellAccessControl Module (скачать его можно здесь). Этот модуль также позволяет вам управлять разрешениями службы. Установите этот модуль и импортируйте его в сеанс PS:

Вы можете получить действующие разрешения для конкретной службы Windows из PowerShell следующим образом:

Диспетчер очереди Get-Service | Get-EffectiveAccess-Principal corp\tuser

Чтобы разрешить пользователю без прав администратора запускать и останавливать службу очереди печати, выполните команду:

Диспетчер очереди Get-Service | Add-AccessControlEntry -ServiceAccessRights Start,Stop -Principal corp\tuser

Использование шаблонов безопасности для управления разрешениями службы

Наглядным (но требующим дополнительных действий) графическим способом управления разрешениями службы является использование шаблонов безопасности. Откройте консоль mmc.exe и добавьте оснастку «Шаблоны безопасности».

Оснастка

Создайте новый шаблон безопасности (Новый шаблон).

новый шаблон

Укажите имя нового шаблона и перейдите в раздел Системные службы. В списке служб выберите службу Диспетчер очереди печати и откройте ее свойства.

Выберите режим запуска (Автоматически) и нажмите «Изменить безопасность».

service edit security

С помощью кнопки "Добавить" добавьте учетную запись пользователя или группу, которым необходимо предоставить разрешения. В нашем случае достаточно разрешения на запуск, остановку и паузу.

параметры безопасности сервиса

Сохранить этот шаблон.

Примечание. Содержимое шаблона безопасности сохраняется в виде файла INF в папке C:\Users\%username%\Documents\Security\Templates.

Если вы откроете этот файл, вы увидите, что информация о разрешениях сохранена в формате SDDL, упомянутом ранее. Полученную таким образом строку можно использовать в качестве аргумента команды sc.exe.

[Unicode]
Unicode=yes
[Версия]
signature="$CHICAGO$"
Редакция=1
[Общие настройки сервиса]
"Spooler",2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;RPWPDTRC;;;S -1-5-21-3243688314-1354026805-3292651841-1127)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

service_user_rights.inf


Теперь вам нужно только создать новую базу данных (Open Database) с помощью оснастки Security Configuration and Analysis и импортировать свой шаблон безопасности из файла Spooler User Rights.inf.

импорт шаблона безопасности

Примените этот шаблон, выбрав параметр «Настроить компьютер сейчас» в контекстном меню.

Настроить компьютер сейчас

Теперь вы проверяете, может ли пользователь разрешить управление службой диспетчера очереди печати под учетной записью без прав администратора.

Как предоставить пользователям права на управление службой с помощью GPO?

Если вам необходимо предоставить пользователям разрешения на запуск/остановку службы на нескольких серверах или компьютерах домена, проще использовать функции групповой политики (GPO):

System Service GPO

  1. Создайте новый объект групповой политики или отредактируйте существующий, свяжите его с нужным контейнером Active Directory (OU) с объектами-компьютерами. Перейдите в раздел политики Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Системные службы;
  2. Найдите службу диспетчера очереди и предоставьте пользователям разрешения, как описано выше. Сохраните изменения;

Параметры безопасности для всех служб, для которых вы изменили разрешения по умолчанию, хранятся в собственном ключе реестра HKLM\System\CurrentControlSet\Services\\Security в параметре Security типа REG_BINARY.

разрешения службы Windows в реестр

Это означает, что одним из способов установки разрешений службы на других компьютерах является экспорт/импорт этого параметра реестра (в том числе через объект групповой политики).

Итак, мы рассмотрели несколько способов управления разрешениями для служб Windows, которые позволяют предоставлять любые разрешения для системных служб пользователю без прав администратора. Если пользователю требуется удаленный доступ к службе без предоставления ему прав локального входа в систему или доступа к RDP, вы должны разрешить пользователю удаленно подключаться и перечислять службы с помощью диспетчера управления службами.

Читайте также: