是否可以允许只读模式,以便某人使用管理控制台“连接到另一台计算机”并查看正在运行的服务?这是一台 Win2008 服务器,用户除了能够查看 Windows 服务外,没有任何权限。或者有没有更好的方法来实现同样的效果?
答案1
每个服务都有一个 ACL。它控制谁可以查看状态、停止/启动和配置。没有内置 UI 来授予访问权限,但sc.exe sdshow service" will show the ACL in [SDDL][1] form, thesdset command forsc.exe` 允许设置 ACL。
根据我查看的一项服务(“Windows 搜索”)的默认值,所有交互式用户都可以查询此服务,但对于 Windows 更新,访问权限是不同的,并且基于所有用户(即远程用户以及本地登录的用户)。
由于访问权限标志是符号扩展的,但一般来说,需要计算出底层的位模式来转换为服务ACE 标志名称。
(使用组策略强制执行服务配置时,有一个交互式服务 ACL 编辑器。)