[英]We wrote service descriptors for windows service in which user does not have privilege to start/stop the service but Admin can Start/Stop the service
我們正在嘗試創建一個完全由管理員控制的服務,用戶無權執行任何操作,例如啟動、停止、重新啟動或更改服務的啟動類型或使用任務管理器結束服務。 在這個階段,我們的 SDDL 看起來像: ;;WD)
此 SDDL 提供以下權限:NT AUTHORITY\SERVICE:訪問:允許,權限:僅此 Object - CreateChild、Self、ListObject、ExtendedRight、GenericExecute、WriteDacl AUTHORITY\SYSTEM:訪問:允許,權限:僅此 Object - CreateChild、Self ,ExtendedRight,GenericRead,WriteDacl BUILTIN\Administrators:訪問:允許,權限:僅此 Object - CreateChild,Self,ExtendedRight,GenericRead,WriteDacl
目前沒有人可以停止該服務,但我們希望只有管理員有權停止該服務,我們需要幫助來設置 SDDL!
我不確定它是否仍然相關,但您需要 ACE 字符串“WP”。 這允許相關標識(在 SID 字符串中提及)啟動/停止服務。 所以如果你想讓管理員有停止和啟動的能力,你需要使用下面的(“BA”SID字符串代表Built-in administrators,你也可以添加管理員帳戶的SID):
D:(A;;CCLCSWRPLOCRRCWD WP ;;;BA)
在你寫的內容的上下文中:
D:P(A;;CCLCSWRPLOCRRCWD;;;SY)(A;;CCLCSWLOCRRCWD;;;SU)(A;;CCLCSWRPLOCRRCWD WP ;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.