Windows (2008R2) 上启动/停止服务的权限

Question 1

我不相信在本地系统上有任何好的 GUI 可以执行此操作，但自从我上次查看以来可能已经添加了一些东西。

我知道设置ACL可用于修改服务的访问控制列表。以下是文档中有关如何授予启动/停止 Windows 时间服务权限的示例domain1\group1。SetACL 非常易于使用。

SetACL.exe -on "\\server1\W32Time" -ot srv -actn ace
           -ace "n:domain1\group1;p:start_stop"

您可以使用内置的陣容也是，但语法更加隐晦。选项有sc sdset和sc sdshow。

另一个选项是设置权限通过政策。

Answer

我不相信在本地系统上有任何好的 GUI 可以执行此操作，但自从我上次查看以来可能已经添加了一些东西。

我知道设置ACL可用于修改服务的访问控制列表。以下是文档中有关如何授予启动/停止 Windows 时间服务权限的示例domain1\group1。SetACL 非常易于使用。

SetACL.exe -on "\\server1\W32Time" -ot srv -actn ace
           -ace "n:domain1\group1;p:start_stop"

您可以使用内置的陣容也是，但语法更加隐晦。选项有sc sdset和sc sdshow。

另一个选项是设置权限通过政策。

Question 2

您可以通过使用 SC.exe 编辑 SDDL 字符串来本地设置服务权限。网上有几篇文章详细介绍了这些内容。虽然使用该方法可行，但它非常繁琐、容易出错，并且可能因操作系统而异。我没有使用过 SetACL Studio，但根据他们的网站，它看起来相当全面。

如果需要将权限委托给多种的机器，并且可能有更复杂的场景，我建议使用系统前沿。您可以集中配置权限，这些权限可以自动应用于一个或多个服务器，而无需接触每个单独的服务器。一切都基于基于角色的访问控制 (RBAC)。全面披露：我拥有开发 System Frontier 的公司。

Answer

您可以通过使用 SC.exe 编辑 SDDL 字符串来本地设置服务权限。网上有几篇文章详细介绍了这些内容。虽然使用该方法可行，但它非常繁琐、容易出错，并且可能因操作系统而异。我没有使用过 SetACL Studio，但根据他们的网站，它看起来相当全面。

如果需要将权限委托给多种的机器，并且可能有更复杂的场景，我建议使用系统前沿。您可以集中配置权限，这些权限可以自动应用于一个或多个服务器，而无需接触每个单独的服务器。一切都基于基于角色的访问控制 (RBAC)。全面披露：我拥有开发 System Frontier 的公司。

相关内容