Ping-Admin.Ru

Автор Тема: Не получается ребутнуть службу через SC (отказано в доступе). Локально работает.  (Прочитано 472 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 184
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Здравствуйте, проблема в следующем: Нужно банально дать обычному пользователю права на старт/стоп службы на удаленном компе с Windows 10. Ранее я делал это так:

C:\Users\akuc>sc \\RemotePC sdset Spooler "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-710525090-4270275014-153655355-8309)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
[SC] SetServiceObjectSecurity SUCCESS

И как бы раньше это работало. Сейчас решил попробовать с помощью SubInACL, присвоил права Full, проверил:
/pace =Domain\test212      ACCESS_ALLOWED_ACE_TYPE-0x0
        SERVICE_ALL_ACCESS
Проверил перезапустить службу локально - работает, пытаюсь это сделать с удаленного PC: "sc \\RemotePC stop spooler", получаю Access is denied.
По не понятным причинам пользователь имеет права на перезапуск службы только локально, но не может этот сделать с удаленного компа  :(. Как буд-то еще где-то нужно дать разрешения, не только на саму службу, только в голову не приходит на что.
У кого-то может будут идеи, пишите.

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 184
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Кто-то мне поможет? Может что-то не понятно написал?

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6151
  • Рейтинг: 54
  • Пол: Мужской
    • fray@sysadminz.ru
    • lushikafu
    • lushikafu
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
Может посмотреть в локальных политиках безопасности, раздел - назначение прав пользователей.
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 184
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Может посмотреть в локальных политиках безопасности, раздел - назначение прав пользователей.
Да все по дефолту в политиках стоит, как в локальных так и групповых (Не определено)
Выяснил что проблема не только на одном компьютере и что такая проблема только на Windows 10 (1709), на Windows server 2016 все отлично работает, права присваеваются и удаленный ребут выполняется. Есть впечатление, что после какого-то обновления Windows 10, такая возможность прикрылась, так как я помню при старших версиях Windows 10 (1607) присваивались и удаленный ребут работал. Хз вообщем, в гугле этому не могу найти подтверждение.


Updated: 06 December 2017, 20:47:09

Так же добавлю, что если доменного пользователя добавляешь в группу лок админа на машине на которой нужно делать ребут службы, тогда эта учетка может удаленно рестартовать службу, в противном случая Access Denied.
« Последнее редактирование: 06 Декабря 2017, 20:47:09 от 2site »