允许域帐户修改特定服务的ACL

允许域帐户修改特定服务的ACL

我有一个 Windows 域帐户,我希望能够修改特定服务的 ACL。目前,此帐户正用于运行安装程序,安装程序想要进行 ACL 修改,但失败了。该帐户是机器上的本地管理员,但显然由于某些组策略,它在尝试修改服务的 ACL 时遇到了审核失败。

我如何向该帐户授予此权限?如果我可以明确配置服务,我宁愿不必修改组策略。

我感谢任何指点,特别是完整的答案,因为其中一些概念对我来说很新。

新的信息:

我能够实现这个目标,但可能有点太过笼统……特别是我使用“sc sdshow”和“sc sdset”修改了服务的安全描述符,并在 SDDL 字符串中为该帐户赋予了我能想到的所有权限……特别是这些:CCDCLCSWRPWPDTLOCRSDRCWDWO

有人知道其中哪一个实际上对应于我正在寻找的“修改 ACL”权限吗?

另外,是否有人知道我制定的什么组策略一开始就导致了这个问题(因为没有组策略,问题就消失了)?

答案1

由于组策略干扰了这些权限,因此我建议修复该组策略。

您可以通过编辑有问题的组策略来执行此操作,深入到计算机配置> Windows 设置> 安全设置> 系统服务> 从列表中选择所需的服务并转到属性。编辑安全...并在高级选项卡中将“更改权限”添加到所需的安全主体。

如果出于某种原因您无法执行此操作,您可以继续使用sc sdset现在的方法...修改权限在 SDDL 中为“WD”。但请注意,如果有 GPO 覆盖它,则此方法可能不会奏效。

相关内容