Как безопасно разрешить пользователям перезапуск служб в Windows Server 2003

Довольно часто системные администраторы сталкиваются с такой проблемой, как необходимость предоставления простому пользователю права на перезапуск некоторых служб. Но в это же время наделение правами администратора неопытного юзера несет в себе угрозу безопасности и стабильности работы сервера.

В этом случае лучшим решением будет предоставление пользователям ограниченный набор привилегий, например, дать права на удаленный перезапуск конкретной службы.

Для решения данной задачи Microsoft предлагает одну легкую утилиту под названием SubInACL. С помощью нее вы сможете выставлять права на нужную вам службу и таким образом непривилегированный пользователь получит возможность управлять этой службой. Также утилита позволяет администраторам получать информацию о безопасности файлов и ключей реестра, передача этой информации от пользователя к пользователю, от локальной или глобальной группы к группе, от домена к домену.

Пример синтаксиса команды Subinacl:

SUBINACL /SERVICE \\Имя_компьютера\Имя_службы /GRANT=[Имя_Домена\]Имя_пользователя[=Тип_доступа]

Команду необходимо выполнять обладая правами администратора.
В случае если имя компьютера не указано, то операции будут выполняться для локального ПК. Когда не указано имя домена, то учетная запись ищется на локальном компьютере. Вместо имени пользователя может быть указано имя группы.

Параметр «Тип_доступа» может принимать следующие значения:

F : полный доступ
R : чтение
W : запись
X : выполнение
L : чтение разрешений
Q : запрос конфигурации службы
S : запрос состояния службы
E : перечисление зависящих служб
C : изменение конфигурации службы
T : запуск службы
O : остановка службы
P : приостановка и возобновление работы службы
I : опрос службы
U : пользовательские команды


А вот синтаксис, позволяющий пользователю «user1» перезапуск службы «service1» на сервере \\allforos\server1



среди которых = T – права для запуска службы, O – права для остановки службы.