#1536458 , а именно выдаче пользователю прав на определённую службу.
Это решается, причём стандартными средствами, хотя и немного через жопу, на мой взгляд.
Первый способ, гуёвый:
Открываем консоль mmc и добавляем в ней две оснастки:
— Анализ и настройка безопасности;
— Шаблоны безопасности (только для первой настройки).
Заходим в "Шаблоны безопасности", открываем имеющийся там каталог шаблонов, жмякаем правой кнопкой мыши на свободном месте и добавляем шаблон. Называем его, например, "empty", потому как это будет именно что пустой шаблон.
Далее переходим в "Анализ и настройку безопасности", открываем базу данных. Имя базы для первого раза указываем любое,а в следующие разы будем открывать уже существующую базу. Когда спросит шаблон, выбираем созданный нами ранее "empty".
Теперь сравниваем параметры компьютера с настройками в базе: нажимаем ПКМ на "Анализ и настройку" и выбираем "Анализ компьютера..."
После окончания анализа выбираем "Системные службы", ищем нужную нам и заходим в её свойства. Теоретически можно сразу ставить галку "Определить следующую политику в базе данных" и настраивать всё, что надо. А практически лучше сначала запомнить/записать все имеющиеся разрешения, потому как у меня после первой настройки они слетали напрочь для выбранной службы, так что приходилось всё перезадавать вручную. После изменения разрешений жмём опять ПКМ на "Анализ и настройка" и выбираем "Настроить компьютер".
Если служба по прежнему не запускается под пользователем, можно провести повторный анализ и посмотреть, подхватились ли на неё разрешения или слетели. Ну и при необходимости повторить всё вышеописанное.
Второй способ: задать права на службу в консоли командой sc sdset, что на мой взгляд, как лоха от ИТ, сложно. Ибо мне лично совершенно непонятно, что за набор букв выдаётся по команде sc sdshow %servicename% и что туда надо добавлять. Ну а разбираться особого желания, естественно, нет. Например, вывод sc sdshow spooler:
D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Третий способ: воспользоваться консольной же утилитой subinacl. Там вроде всё пологичней. Скачать её можно здесь: microsoft.com
Почитать про неё здесь: server.md
Итак, вернёмся к вопросу, заданному в Это решается, причём стандартными средствами, хотя и немного через жопу, на мой взгляд.
Первый способ, гуёвый:
Открываем консоль mmc и добавляем в ней две оснастки:
— Анализ и настройка безопасности;
— Шаблоны безопасности (только для первой настройки).
Заходим в "Шаблоны безопасности", открываем имеющийся там каталог шаблонов, жмякаем правой кнопкой мыши на свободном месте и добавляем шаблон. Называем его, например, "empty", потому как это будет именно что пустой шаблон.
Далее переходим в "Анализ и настройку безопасности", открываем базу данных. Имя базы для первого раза указываем любое,а в следующие разы будем открывать уже существующую базу. Когда спросит шаблон, выбираем созданный нами ранее "empty".
Теперь сравниваем параметры компьютера с настройками в базе: нажимаем ПКМ на "Анализ и настройку" и выбираем "Анализ компьютера..."
После окончания анализа выбираем "Системные службы", ищем нужную нам и заходим в её свойства. Теоретически можно сразу ставить галку "Определить следующую политику в базе данных" и настраивать всё, что надо. А практически лучше сначала запомнить/записать все имеющиеся разрешения, потому как у меня после первой настройки они слетали напрочь для выбранной службы, так что приходилось всё перезадавать вручную. После изменения разрешений жмём опять ПКМ на "Анализ и настройка" и выбираем "Настроить компьютер".
Если служба по прежнему не запускается под пользователем, можно провести повторный анализ и посмотреть, подхватились ли на неё разрешения или слетели. Ну и при необходимости повторить всё вышеописанное.
Второй способ: задать права на службу в консоли командой sc sdset, что на мой взгляд, как лоха от ИТ, сложно. Ибо мне лично совершенно непонятно, что за набор букв выдаётся по команде sc sdshow %servicename% и что туда надо добавлять. Ну а разбираться особого желания, естественно, нет. Например, вывод sc sdshow spooler:
D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Третий способ: воспользоваться консольной же утилитой subinacl. Там вроде всё пологичней. Скачать её можно здесь: microsoft.com
Почитать про неё здесь: server.md