none
Nastavení oprávnění na lokální službu pomocí GP RRS feed

  • Dotaz

  • Zdravím všechny,

    řeším následující problém, jak a zda je vůbec možné nastavit/změnit pomocí GP oprávnění pro doménového uživatele na lokální službu. Na PC je nainstalována služba, u které bych potřeboval změnit oprávnění pro doménového uživatele tak, aby službu mohl zastavit a pak i spustit. Před implementací domény jsem ke změně oprávnění využíval utilitku scacl, kterou jsem na lokální stanici manuálně spouštěl. Nicméně počet PC se docela zvýšil a předpokládám, že doména by mi mohla také pomoci.

    Děkuji za pomoc.

    Petr

    pondělí 25. listopadu 2019 18:12

Odpovědi

  • Systemovym sluzbam nastavovat opravneni pres GPO lze. Viz cituji: Under "Computer Settings", "Windows Settings", "Security Settings", and "System Services", locate the service you want to grant start / stop permission to and define a policy setting. You have to choose a startup type. Click "Edit Security" and modify the default ACL to include the permissions you're looking for.

    Je treba si uvedomit, ze opravneni sluzby se resi v klici HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxxxx\Security a je to v podstate binarni blob. Nastavovat tam neco natvrdo je sice mozne, ale premazes aktualni nastaveni = muzes si pridelat vic prace, nez uzitku.

    Pridat nesystemovou sluzbu do GPEDITu je asi taky resitelne viz napr https://social.technet.microsoft.com/Forums/lync/en-US/6e33502a-dec6-492e-9067-f20e10884d94/add-third-party-service-to-system-services?forum=winserverGP
    Ale nikdy jsem to nepotreboval.

    Neni jednodussi pri startu PC startup scriptem spoustet utilitku - subinacl. Nebo to nastavovat davkove pres vzdaleny PS, nebo PSEXEC?



    • Upravený Miroslav Tiser úterý 26. listopadu 2019 8:18
    • Označen jako odpověď PettBr úterý 26. listopadu 2019 18:38
    úterý 26. listopadu 2019 8:17