Назначение разрешений на управление службой с помощью нативной команды SC.

Узнать какие права у службы сейчас можно командой sc sdshow servicename :

C:\> sc sdshow snmptrap

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

вывод этой команды показал нам две группы контрольных листов:

D: - Discretionary Access Control List (DACL) - с этой мы сейчас будем работать

S: - System Access Control List (SACL) - эту не трогаем

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)

то что в одних скобках (действие;;тип разрешений;;;кому применяется) - это отдельное разрешение для отдельного пользователя или группы:

A - Allow (разрешить)
D - Deny (запретить)
;;
CC - SERVICE_QUERY_CONFIG
LC - SERVICE_QUERY_STATUS
SW - SERVICE_ENUMERATE_DEPENDENTS
LO - SERVICE_INTERROGATE
CR - SERVICE_USER_DEFINED_CONTROL
RC - READ_CONTROL
RP - SERVICE_START
WP - SERVICE_STOP
DT - SERVICE_PAUSE_CONTINUE
;;;
AU - Authenticated Users
AO - Account operators
RU - Alias to allow previous Windows 2000
AN - Anonymous logon
AU - Authenticated users
BA - Built-in administrators
BG - Built-in guests
BO - Backup operators
BU - Built-in users
CA - Certificate server administrators
CG - Creator group
CO - Creator owner
DA - Domain administrators
DC - Domain computers
DD - Domain controllers
DG - Domain guests
DU - Domain users
EA - Enterprise administrators
ED - Enterprise domain controllers
WD - Everyone
PA - Group Policy administrators
IU - Interactively logged-on user
LA - Local administrator
LG - Local guest
LS - Local service account
SY - Local system
NU - Network logon user
NO - Network configuration operators
NS - Network service account
PO - Printer operators
PS - Personal self
PU - Power users
RS - RAS servers group
RD - Terminal server users
RE - Replicator
RC - Restricted code
SA - Schema administrators
SO - Server operators
SU - Service logon user
S-1-5-32-568 - указанный нами SID пользователя или группы (в данном случае BUILTIN\iis_iusrs)

Узнать SID по имени можно используя мою статью по PowerShell или с помощью команды psgetsid (ссылка (182.8 Кб) [скачано:1793 раз(а)]) из инструментов Марка Русиновича:

C:\> psgetsid domain\user

PsGetSid v1.43 - Translates SIDs to names and vice versa
Copyright (C) 1999-2006 Mark Russinovich
Sysinternals - www.sysinternals.com

SID for domain\user:
S-1-5-21-251547391-2892178632-4239030845-27132

Для примера, запрещаем нашему пользователю domain\user изменение, остановку и паузу службы SNMPTRAP, используя команду sc sdset servicename (наше разрешение в круглых скобках ставим в самое начало группы контрольных листов D:):

C:\> sc sdshow snmptrap

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

C:\> sc sdset snmptrap D:(D;;WPDT;;;S-1-5-21-251547391-2892178632-4239030845-27132)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
[SC] SetServiceObjectSecurity SUCCESS