Форум системных администраторов

IT => Windows => Тема начата: 2site от 01 декабря 2017, 15:18:59

Название: Не получается ребутнуть службу через SC (отказано в доступе). Локально работает.
Отправлено: 2site от 01 декабря 2017, 15:18:59
Здравствуйте, проблема в следующем: Нужно банально дать обычному пользователю права на старт/стоп службы на удаленном компе с Windows 10. Ранее я делал это так:

Код: [Выделить]
C:\Users\akuc>sc \\RemotePC sdset Spooler "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-710525090-4270275014-153655355-8309)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
[SC] SetServiceObjectSecurity SUCCESS

И как бы раньше это работало. Сейчас решил попробовать с помощью SubInACL, присвоил права Full, проверил:
Код: [Выделить]
/pace =Domain\test212      ACCESS_ALLOWED_ACE_TYPE-0x0
        SERVICE_ALL_ACCESS
Проверил перезапустить службу локально - работает, пытаюсь это сделать с удаленного PC: "sc \\RemotePC stop spooler", получаю Access is denied.
По не понятным причинам пользователь имеет права на перезапуск службы только локально, но не может этот сделать с удаленного компа  :(. Как буд-то еще где-то нужно дать разрешения, не только на саму службу, только в голову не приходит на что.
У кого-то может будут идеи, пишите.
Название: Не получается ребутнуть службу через SC (отказано в доступе). Локально работает.
Отправлено: 2site от 05 декабря 2017, 17:25:49
Кто-то мне поможет? Может что-то не понятно написал?
Название: Не получается ребутнуть службу через SC (отказано в доступе). Локально работает.
Отправлено: Fray от 06 декабря 2017, 09:40:26
Может посмотреть в локальных политиках безопасности, раздел - назначение прав пользователей.
Название: Не получается ребутнуть службу через SC (отказано в доступе). Локально работает.
Отправлено: 2site от 06 декабря 2017, 20:32:28
Цитата: Fray от 06 декабря 2017, 09:40:26
Может посмотреть в локальных политиках безопасности, раздел - назначение прав пользователей.
Да все по дефолту в политиках стоит, как в локальных так и групповых (Не определено)
Выяснил что проблема не только на одном компьютере и что такая проблема только на Windows 10 (1709), на Windows server 2016 все отлично работает, права присваеваются и удаленный ребут выполняется. Есть впечатление, что после какого-то обновления Windows 10, такая возможность прикрылась, так как я помню при старших версиях Windows 10 (1607) присваивались и удаленный ребут работал. Хз вообщем, в гугле этому не могу найти подтверждение.

Updated: 06 December 2017, 20:47:09

Так же добавлю, что если доменного пользователя добавляешь в группу лок админа на машине на которой нужно делать ребут службы, тогда эта учетка может удаленно рестартовать службу, в противном случая Access Denied.