首页 文章

从非管理员用户帐户启动/停止Windows服务

提问于
浏览
118

我有一个名为BST的WindowsService . 我需要向非管理员用户UserA授予启动/停止此特定服务的权限 . 我的服务在各种Windows操作系统上运行,从Windows Server 2003到Windows 7 .

我怎样才能做到这一点?

我用谷歌搜索并发现了一些关于使用命令[sc sdset]给予权限的东西,但我不完全确定参数 . 我不想为组设置权限,但仅限于特定用户,在这种情况下为UserA .

windows-services user-accounts administrator

7 回答

  • 11

    Below I have put together everything I learned about Starting/Stopping a Windows Service from a non-Admin user account, if anyone needs to know.

    首先,有两种方法可以启动/停止Windows服务 . 1. Directly accessing the service through logon Windows user account. 2. Accessing the service through IIS using Network Service account.

    用于启动/停止服务的命令行命令:

    C:/> net start <SERVICE_NAME>
C:/> net stop <SERVICE_NAME>

    C#代码启动/停止服务:

    ServiceController service = new ServiceController(SERVICE_NAME);

//Start the service
if (service.Status == ServiceControllerStatus.Stopped)
{
      service.Start();
      service.WaitForStatus(ServiceControllerStatus.Running, TimeSpan.FromSeconds(10.0));
}

//Stop the service
if (service.Status == ServiceControllerStatus.Running)
{
      service.Stop();
      service.WaitForStatus(ServiceControllerStatus.Stopped, TimeSpan.FromSeconds(10.0));
}

    Note 1: 通过IIS访问服务时,创建一个Visual Studio C#ASP.NET Web应用程序并将代码放在那里 . 将WebService部署到IIS根文件夹(C:\ inetpub \ wwwroot \),您就可以开始使用了 . 通过网址http:///访问它 .

    1. Direct Access Method

    如果您提供命令或运行代码的Windows用户帐户是非管理员帐户,则需要为该特定用户帐户设置权限,以便它能够启动和停止Windows服务 . 这就是你如何做到的 . Login to an Administrator account on the computer which has the non-Admin account from which you want to Start/Stop the service. 打开命令提示符并提供以下命令:

    C:/>sc sdshow <SERVICE_NAME>

    输出将是这样的:

    D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    它列出了此计算机上每个用户/组的所有权限 .

    A description of one part of above command is as follows:

    D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)

It has the default owner, default group, and it has the Security descriptor control flags (A;;CCLCSWRPWPDTLOCRRC;;;SY):

ace_type - "A": ACCESS_ALLOWED_ACE_TYPE,
ace_flags - n/a,
rights - CCLCSWRPWPDTLOCRRC,  please refer to the Access Rights and Access Masks and Directory Services Access Rights
CC: ADS_RIGHT_DS_CREATE_CHILD - Create a child DS object.
LC: ADS_RIGHT_ACTRL_DS_LIST - Enumerate a DS object.
SW: ADS_RIGHT_DS_SELF - Access allowed only after validated rights checks supported by the object are performed. This flag can be used alone to perform all validated rights checks of the object or it can be combined with an identifier of a specific validated right to perform only that check.
RP: ADS_RIGHT_DS_READ_PROP - Read the properties of a DS object.
WP: ADS_RIGHT_DS_WRITE_PROP - Write properties for a DS object.
DT: ADS_RIGHT_DS_DELETE_TREE - Delete a tree of DS objects.
LO: ADS_RIGHT_DS_LIST_OBJECT - List a tree of DS objects.
CR: ADS_RIGHT_DS_CONTROL_ACCESS - Access allowed only after extended rights checks supported by the object are performed. This flag can be used alone to perform all extended rights checks on the object or it can be combined with an identifier of a specific extended right to perform only that check.
RC: READ_CONTROL - The right to read the information in the object's security descriptor, not including the information in the system access control list (SACL). (This is a Standard Access Right, please read more http://msdn.microsoft.com/en-us/library/aa379607(VS.85).aspx)
object_guid - n/a,
inherit_object_guid - n/a,
account_sid - "SY": Local system. The corresponding RID is SECURITY_LOCAL_SYSTEM_RID.

    现在我们需要做的是为我们想要的组或用户设置启动/停止Windows服务的适当权限 . 在这种情况下,我们需要当前的非管理员用户能够启动/停止服务,因此我们将为该用户设置权限 . 为此,我们需要该特定Windows用户帐户的SID . 要获取它,请打开注册表(“开始”>“regedit”)并找到以下注册表项 .

    LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

    在此计算机下,每个用户帐户都有一个单独的密钥,密钥名称是每个帐户的SID . SID的格式通常为S-1-5-21-2103278432-2794320136-1883075150-1000 . 单击每个键,您将在右侧窗格中看到每个键的值列表 . 找到“ProfileImagePath”,通过它的值,您可以找到SID所属的用户名 . 例如,如果帐户的用户名是SACH,那么“ProfileImagePath”的值将类似于“C:\ Users \ Sach” . 因此,请记下要设置权限的用户帐户的SID .

    Note2: 这里是一个简单的C#代码示例,可用于获取所述密钥及其值的列表 .

    //LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList RegistryKey
RegistryKey profileList = Registry.LocalMachine.OpenSubKey(keyName);

//Get a list of SID corresponding to each account on the computer
string[] sidList = profileList.GetSubKeyNames();

foreach (string sid in sidList)
{
    //Based on above names, get 'Registry Keys' corresponding to each SID
    RegistryKey profile = Registry.LocalMachine.OpenSubKey(Path.Combine(keyName, sid));

    //SID
    string strSID = sid;
    //UserName which is represented by above SID    
    string strUserName = (string)profile.GetValue("ProfileImagePath");
}

    现在我们要将权限设置为我们要设置的用户帐户的SID,让's get down to it. Let'假设用户帐户的SID是 S-1-5-21-2103278432-2794320136-1883075150-1000 . 将[sc sdshow]命令的输出复制到文本编辑器 . 它看起来像这样:

    D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    现在,复制上述文本的 (A;;CCLCSWRPWPDTLOCRRC;;;SY) 部分,然后将其粘贴到文本的 S:(AU;... 部分之前 . 然后将该部分更改为如下所示: (A;;RPWPCR;;;S-1-5-21-2103278432-2794320136-1883075150-1000)

    然后在前面添加 sc sdset ,并用引号将上面的部分括起来 . 您的最终命令应如下所示:

    sc sdset <SERVICE_NAME> "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-2103278432-2794320136-1883075150-1000)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    现在在命令提示符中执行此操作,如果成功,它应该按如下方式给出输出:

    [SC] SetServiceObjectSecurity SUCCESS

    现在我们很高兴!您的非管理员用户帐户已被授予启动/停止服务的权限!尝试登录到用户帐户并启动/停止服务,它应该让你这样做 .

    2. Access through IIS Method

    在这种情况下,我们需要向IIS用户"Network Services"而不是登录Windows用户帐户授予权限 . 程序相同,只会更改命令的参数 . 由于我们将权限设置为"Network Services",因此在我们之前使用的最终sdset命令中将SID替换为字符串"NS" . 最终的命令看起来像这样:

    sc sdset <SERVICE_NAME> "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    在管理员用户帐户的命令提示符下执行它,瞧!您有权使用WebMethod从任何用户帐户启动/停止服务(无论是否为管理员帐户) . 请参阅Note1以了解如何操作 .

    回复于
  • 0

    我使用SubInACL实用程序 . 例如,如果我想让计算机上的用户 job 能够启动和停止万维网发布服务(也称为w3svc),我会发出以下命令:管理员:

    subinacl.exe /service w3svc /grant=VMX001\job=PTO

    您可以授予的权限定义如下(列表取自here):

    F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service 
U : Service User-Defined Control Commands

    因此,通过指定PTO,我授权 job 用户暂停/继续,启动和停止w3svc服务 .

    回复于
  • 105

    • 以管理员身份登录 .

    • 从Microsoft下载 subinacl.exe
      http://www.microsoft.com/en-us/download/details.aspx?id=23510

    • 授予常规用户帐户的权限以管理BST服务 .
      (subinacl.exe位于C:\ Program Files(x86)\ Windows资源工具包\ Tools \) .

    • cd C:\Program Files (x86)\Windows Resource Kits\Tools\
      subinacl /SERVICE \\MachineName\bst /GRANT=domainname.com\username=F
      subinacl /SERVICE \\MachineName\bst /GRANT=username=F

    • 注销并以用户身份重新登录 . 他们现在应该能够启动BST服务 .

    回复于
  • -2

    有一个免费的GUI工具ServiceSecurityEditor

    这允许您编辑Windows服务权限 . 我已成功使用它为非管理员用户授予启动和停止服务的权限 .

    在我了解这个工具之前,我曾经使用过“sc sdset” .

    ServiceSecurityEditor感觉就像作弊一样,很容易:)

    回复于
  • 13

    使用以下工具之一向服务授予管理权限要容易得多:

    • 组策略

    • 安全模板

    • subinacl.exe命令行工具 .

    这是带有Windows Server 2008 / Windows 7说明的MSKB article,但2000和2003的说明相同 .

    回复于
  • 136

    subinacl.exe命令行工具可能是唯一可行且易于使用的帖子 . 您不能将GPO与非系统服务一起使用,而另一种选择方式太复杂了 .

    回复于
  • 38

    Windows服务使用本地系统帐户运行 . 它可以在用户登录系统时自动启动,也可以手动启动 . 但是,Windows服务说BST可以使用机器上的特定用户帐户运行 . 这可以完成如下所示:启动services.msc并转到Windows服务的属性BST . 从那里,您可以提供所需user.Service的登录参数,然后使用该用户帐户运行,其他用户无法运行该服务 .

    回复于

相关问题