設定Windows服務的存取權限

標籤：檔案夾   快顯功能表   win   min   滑鼠右鍵   asp   ice   microsoft   log   

作者:beyond

預設情況下，只有Administrator 群組成員、LocalSystem和Power Users群組成員帳戶才有權啟動、停止服務。為了讓普通使用者也可以控制該服務，我們可以手動設定其存取權限。可能有些初學者會感到奇怪，怎麼服務也可以設定許可權？其實在Windows系統裡，不僅可以對檔案夾設定許可權，還可以對註冊表、印表機和服務等系統資源進行使用權限設定。然而對服務進行使用權限設定，沒有對檔案夾進行使用權限設定那麼直觀，需要藉助以下兩種方法：

安全配置和分析

（1）以管理員身份登入系統，在運行對話方塊裡輸入mmc並斷行符號開啟控制台視窗，然後添加“安全配置和分析”嵌入式管理單元。

（2）滑鼠右鍵單擊新添加的“安全配置和分析”嵌入式管理單元，單擊快顯功能表上的“開啟資料庫”功能表項目，在開啟的對話方塊裡指定建立的安全資料庫名稱，例如可以是SrvACL，然後單擊“開啟”按鈕。

（3）在隨之開啟的對話方塊上選擇系統內建的安全模板檔案，例如可以選擇“setup security”模板。

（4）滑鼠右鍵單擊“安全配置和分析”嵌入式管理單元，單擊快顯功能表上的“立即分析電腦”功能表項目，在彈出對話方塊上單擊“確定”按鈕即可開始分析當前電腦的安全配置。

（5）分析結束以後，單擊左側主控台樹狀目錄裡的“系統服務”節點，在右側的詳細窗格裡雙擊所需設定的服務名（本例是App Service）。

（6）在開啟的屬性對話方塊上勾選“在資料庫中定義這個策略”複選框，然後單擊“編輯安全設定”按鈕。

（7）在開啟的安全設定對話方塊上添加Users使用者，然後確保勾選“啟動停止和暫停”許可權右側的“允許”複選框，下所示。

        

（8）依次單擊所有開啟對話方塊上的“確定”按鈕，然後滑鼠右鍵單擊“安全配置和分析”嵌入式管理單元，單擊快顯功能表上的“立即配置電腦”功能表項目，即可用剛才定義的使用權限設定配置系統。

Subinacl命令工具

還可以藉助Subinacl命令工具方便地查看和設定服務的許可權配置，到以下微軟官方網站下載其最新版本：

http://www.microsoft.com/downloads/details.aspx?FamilyId=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en

（1）以管理員身份登入系統，開啟命令提示字元視窗。

（2）在命令提示字元下輸入以下命令：

subinacl /service AppSrv /grant=users=top

要注意，subinacl只能接收服務名（ServiceName），而不是顯示名稱（DisplayName）。命令參數“grant=users=top”表示給Users群組帳戶賦予“啟動、停止和暫停”AppSrv服務的許可權，“top”中的t代表start（啟動）許可權、o代表stop（停止）許可權、p代表pause（中止/繼續）許可權。

（3）接下來可以運行以下命令，查看AppSrv服務的使用權限設定：

subinacl /verbose=2 /service AppSrv /display=dacl

命令結果類似如下所示：

====================

+Service AppSrv

====================

/perm. ace count  =5

/pace =builtin\administrators       ACCESS_ALLOWED_ACE_TYPE-0x0

                SERVICE_ALL_ACCESS

……

/pace =builtin\users      ACCESS_ALLOWED_ACE_TYPE-0x0

                SERVICE_START-0x10            SERVICE_STOP-0x20             SERVICE_PAUSE_CONTINUE-0x40

注意 服務的登入身份指定了服務能夠以多大的許可權訪問系統資源，而服務的存取權限則指定使用者能夠以多大許可權控制該服務。

http://caizhixin75.blog.163.com/blog/static/1835107120071171136765/

設定Windows服務的存取權限