Права на перезапуск службы windows

Обновлено: 06.01.2025

Простым языком о том что такое “Службы”, как их открыть и отключить в случае необходимости.

Что такое “Службы” в Windows 10

Службы Windows — это не имеющие интерфейса и работающие в фоновом режиме программы. Они используются операционной системой для управления сетевыми подключениями, воспроизведения звука, обеспечения функциональности файловой системы, безопасности и аутентификации, отображения цветов и взаимодействие с пользователем через интерфейс.

Таким образом, службы выступают чем-то вроде средства связи между Windows и многочисленными компонентами системы. Это позволяет наладить рабочую среду так, чтобы она работала без сбоев.

Пример служб Windows

• Active Directory Service (Активный каталог).
  Данная служба Microsoft разработана специально для сетей Windows. Она включена по умолчанию в большинство систем Microsoft Windows Server. Активный каталог контролирует централизованное управление доменом и функцией идентификации.
• Prefetch и Superfetch.
  Задача этих служб — повышение скорости запуска операционной системы и приложений путем кэширования в оперативную память часто используемых файлов. Программа работает автоматически, отслеживая часто используемые программы.
• Background Intelligent Transfer Service (Фоновая интеллектуальная служба передачи данных).
  Данная служба облегчает дросселирование, приоритезацию и асинхронную передачу файлов между компьютерами через полосу пропускания. Она играет ключевую роль в поставке обновлений для пользователей Windows.
• DNS Client Service (Служба DNS-клиентов).
  Задача данной службы — обработка доменных имен в IP-адреса. Кроме того, она позволяет локально кэшировать полученные данные.
• Computer Browser Service.
  Эта служба помогает пользователям находить общие файлы на соседних компьютерах. Вся информация обрабатывается лишь на одном из них — Master Browser. Как следствие, чтобы получить нужные файлы, другие компьютеры обращаются к компьютеру-хосту.
• Internet Connection Sharing (ICS, Общий доступ подключения к интернету).
  ICS позволяет использовать одно устройство, подключенное к интернету, в качестве точки доступа для других устройств. Такой доступ может осуществляться через широкополосный Ethernet, сотовую связь, WiFi или другой шлюз.
• Routing and Remote Access Service (Служба маршрутизации и удаленного доступа).
  Данный сервис позволяет создавать приложения, управляющие возможностями удаленного доступа и маршрутизации Windows. Это помогает обозначить устройство в качестве сетевого маршрутизатора.

И это лишь малая часть служб, которые вы можете найти. Часть из них жизненно необходима для Windows, и без них операционная система не проработает одной минуты, а часть можно смело отключать.

В этой статье мы рассмотрим 7 способов открыть службы Windows, а также разберем как можно отключить ненужные фоновые сервисы.

Как открыть утилиту “Службы”

Способ 1. Поиск внутри системы

Самый простой и при этом недооцененный способ запуска утилиты — поиск ее внутри системы. Его можно использовать не только для обозначенного нами сервиса, но и для любого другого стандартного компонента Windows 10.

Чтобы открыть утилиту, просто щелкните левой кнопкой мыши по меню Пуск и введите команду Службы . Кликните по найденному приложению и запустите его.

При желании, вы всегда можете провести запуск от имени администратора. В большинстве случаев такой необходимости нет, но на всякий случай Microsoft решили ее предоставить.

Способ 2. Меню Пуск

С выходом операционной системы Windows 10, ее интерфейс был существенно переработан, в сравнении с более старыми версиями. Тем не менее, многие стандартные приложения по прежнему можно отыскать привычным нам способом.

1. Откройте меню Пуск , щелкнув по клавише в левом нижнем углу.

2. Пролистайте список приложений пока не увидите папку Средства администрирования .

3. Откройте данную папку и среди представленных компонентов найдите утилиту Службы .

4. Запустите утилиту.

Способ 3. Запуск с помощью команд

Большинство стандартных приложений операционной системы Windows 10 можно запускать с помощью ввода специальных команд. Поначалу их придется гуглить, но с опытом вы наверняка их все запомните.

Командой запуска утилиты “Службы” является: services.msc

1. Откройте меню Пуск, щелкнув по иконке Windows в левом нижнем углу.

2. В диалоговом окне введите команду services.msc .

3. Запустите найденное приложение.

Дополнительные способы.

Утилита “Выполнить”.

Альтернативным, и в большинстве случаев более удобным, средством запуска стандартных приложений является утилита Выполнить . Давайте рассмотрим ее применение:

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R .

2. Введите команду services.msc и нажмите Enter .

По завершению выполнения инструкции, перед вами появится окно утилиты “Службы”.

“Командная строка”

Консольную утилиту Windows можно использовать не только как “средство от всех проблем” в операционной системе. С ее помощью также можно выполнять быстрый запуск стандартных приложений. Работает командная строка аналогично утилите “Выполнить”.

1. Откройте командную строку.

2. Введите команду services.msc и нажмите Enter .

Утилита “Службы” должна теперь запуститься.

PowerShell представляет собой улучшенную версию командной строки, которую по прежнему больше игнорируют, чем по-настоящему используют.

1. Запустите PowerShell любым удобным вам способом.

2. Введите команду services.msc и нажмите клавишу Enter .

“Диспетчер задач”

Пожалуй, самый неожиданный способ запуска утилиты. Хотя на самом деле все вполне логично.

Приложение “Диспетчер задач” известно своими мониторинговыми особенностями, возможностью управлять процессами Windows и даже доступом к настройке автозагрузок. Однако, это далеко не весь ее потенциал.

При желании, вы можете открыть утилиту “Службы” путем запуска нового процесса.

1. Откройте Диспетчер задач .

2. Щелкните по клавише Файл и выберите опцию Запустить новую задачу .

23.07.2020

Windows 10, Windows Server 2012 R2, Windows Server 2016

комментариев 13

По умолчанию обычные пользователи (без прав администратора) не могут управлять системными службами Windows. Это означает, что пользовали не могут остановить, запустить (перезапустить), изменить настройки и разрешения служб Windows. В этой статье мы разберем несколько способов управления правами на службы Windows. В частности, мы покажем, как предоставить обычному пользователю, без прав администратора Windows, права на запуск, остановку и перезапуск определенной службы.

Предположим, нам нужно предоставить доменной учетной записи contoso\tuser права на перезапуск службы печати (Print Spooler) с системным именем Spooler. При попытке перезапустить службу под пользователей появляется ошибка: System error 5 has occurred. Access is denied.

Простого и удобного встроенного инструмента для управления разрешениями на службы в Windows нет. Мы рассмотрим несколько способ предоставления пользователю прав на службу:

Какой из них проще и удобнее – решать Вам.

Управление правами на службы с помощью встроенной утилиты SC.exe (Service controller)

Стандартный, встроенный в Windows способ управления правами на службы системы предусматривает использование консольной утилиты sc.exe (Service Controller).

Получить текущие разрешения на службу в виде SDDL строки можно так:

sc.exe sdshow Spooler

Что значат все эти символы?

S: — System Access Control List (SACL)
D: — Discretionary ACL (DACL)

Первая буква после скобок означает: разрешить (A, Allow) или запретить (D, Deny).

Следующая пачка символов – назначаемые права.

AO Account operators
RU Alias to allow previous Windows 2000
AN Anonymous logon
AU Authenticated users
BA Built-in administrators
BG Built-in guests
BO Backup operators
BU Built-in users
CA Certificate server administrators
CG Creator group
CO Creator owner
DA Domain administrators
DC Domain computers
DD Domain controllers
DG Domain guests
DU Domain users
EA Enterprise administrators
ED Enterprise domain controllers
WD Everyone
PA Group Policy administrators
IU Interactively logged-on user
LA Local administrator
LG Local guest
LS Local service account
SY Local system
NU Network logon user
NO Network configuration operators
NS Network service account
PO Printer operators
PS Personal self
PU Power users
RS RAS servers group
RD Terminal server users
RE Replicator
RC Restricted code
SA Schema administrators
SO Server operators
SU Service logon user

Можно вместо предустановленной группы явно указать пользователя или группу по SID. Получить SID пользователя для текущего пользователя можно с помощью команды:

или для любого пользователя домена с помощью PowerShell комаднлета Get-ADUser:

Get-ADUser -Identity 'iipeshkov' | select SID

SID доменной группы можно получить с помощью командлета Get-ADGroup:

Чтобы назначить SDDL строку с правами на определённую службу, используется команда sc sdset. К примеру, права пользователю на службу spooler могут быть предоставлены следующей командой:
sc sdset Spooler "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-2133228432-2794320136-1823075350-1000)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Предоставление прав на перезапуск службы с помощью SubInACL

Для управления правами служб Windows гораздо проще воспользоваться консольной утилитой SubInACL из комплекта Sysinternals от Марка Руссиновича (права на которую вместе с автором теперь принадлежат Microsoft). Синтаксис этой утилиты гораздо проще и удобнее для восприятия. Рассмотрим, как предоставить права перезапуск службы с помощью SubInACL:

Примечание. В данном случае мы дали пользователю права на приостановку (Pause/Continue), запуск (Start) и остановку (Stop) службы. Полный список доступных разрешений: F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service
U : Service User-Defined Control Commands

Если вы все сделали верно, служба должна перезапуститься.

Чтобы лишить пользователя назначенных прав на службу в subinacl.exe используется параметр /revoke , например:

subinacl.exe /service Spooler /revoke=contoso\tuser

Process Explorer: Установка разрешений на службу

Достаточно просто изменить разрешения на службу с помощью еще одной утилиты Sysinternals — Process Explorer. Запустите Process Explorer с правами администратора и найдите в списке процессов процесс нужной вам службы. В нашем примере это spoolsv.exe (диспетчер очереди печати — C:\Windows\System32\spoolsv.exe). Откройте свойства процесса и перейдите на вкладку Services.

Нажмите на кнопку Permissions и в открывшемся окне добавьте пользователя или группу, которой нужно предоставить права на сервис и выберите уровень полномочий (Full Control/Write/Read).

Назначаем разрешения на службу с помощью PowerShell

В галерее TechNet имеется отдельный неофициальный модуль PowerShell для управления разрешениями на разные объекты Windows — PowerShellAccessControl Module (скачать его можно здесь). Этот модуль позволяет управлять правами на службы. Импортируйте модуль в свою PS сессию:

Получить эффективные разрешения на конкретную службу из PowerShell можно так:

Get-Service spooler | Get-EffectiveAccess -Principal corp\tuser

Чтобы предоставить обычному пользователю права на запуск и остановку службы, выполните:

Get-Service spooler | Add-AccessControlEntry -ServiceAccessRights Start,Stop -Principal corp\tuser

Используем шаблоны безопасности (Security Templates) для управления разрешениями служб

Более наглядный (но и требующий большего количества действий) графический способ управления правами на службы – с помощью шаблонов безопасности. Для реализации, откройте консоль mmc.exe и добавьте оснастку Security Templates.

Создадим новый шаблон (New Template).

Задайте имя нового шаблона и перейдите в раздел System Services. В списке служб выберите свою службу Print Spooler и откройте ее свойства.

Установите тип запуска (Automatic) и нажмите кнопку Edit Security.

С помощью кнопки Add добавьте учетную запись пользователя или группы, которым нужно предоставить права. В нашем случае, нам достаточно права Start, Stop and pause.

Сохраните шаблон (Save).

Примечание. Содержимое шаблона безопасности сохраняется в inf файле в каталоге C:\Users\username\Documents\Security\Templates.

Если открыть этот файл, можно увидеть, что данные о правах доступа сохраняются в уже упомянутом ранее SDDL формате. Полученная таким образом строка может быть использована в качестве аргументы команды sc.exe.

Осталось с помощью оснастки Security Configuration and Analysis создать новую базу данных (Open Database) и импортировать новый шаблон безопасности из файла Spooler User Rights.inf.

Примените шаблон, вызвав из контекстного меню команду Configure Computer Now.

Теперь можно под пользователем проверить, что у него появились права на управление службой Print Spooler.

Управление правами служб через групповые политики

Если нужно раздать пользователям права запуска/остановки сервиса сразу на множестве северов или компьютерах домена, проще всего воспользоваться возможностями групповых политик (GPO).

1. Создайте новую или отредактируйте существующую GPO, назначьте ее на нужный контейнер с компьютерами в Active Directory. Перейдите в раздел политик Computer configuration -> Windows Settings -> Security Settings -> System Services;
2. Найдите службу Spooler и аналогично методике с шаблонами безопасности, рассмотренной ранее, предоставьте права пользователю. Сохраните изменения;

Примечание. Ранее мы показывали, как с помощью аналогичной GPO можно скрыть от всех пользователей системы любую службу Windows. Где хранятся разрешения служб Windows?

Настройки безопасности для все служб, для которых вы изменили разрешения по-умолчанию хранятся в собственной ветке реестра HKLM\System\CurrentControlSet\Services\<servicename>\Security в параметре Security типа REG_BINARY.

Это означает, что одним из способов установки аналогичных разрешений на других компьютерах может быть экспорт/импорт данного параметра реестра (в том числе через GPO).

Итак, мы разобрали несколько способов управления правами на службы Windows, позволяющих предоставить произвольному пользователю любые права на системные службы. Если пользователю требуется удаленный доступ к службе, без предоставления ему прав локального входа в систему, нужно разрешить пользователю удаленно опрашивать Service Control Manager.

В этой статье описывается предоставление пользователям прав на управление службами.

Применяется к: Windows Server 2003
Исходный номер КБ: 325349

Сводка

В этой статье описывается, как предоставить пользователям полномочия по управлению системной службой в Windows Server 2003.

По умолчанию только члены группы администраторов могут запускать, останавливать, останавливать, возобновлять или перезапускать службу. В этой статье описываются методы, которые можно использовать для предоставления пользователям соответствующих прав на управление службами.

Метод 1. Использование групповой политики

Групповые политики можно использовать для изменения разрешений на системных службах. Дополнительные сведения нажмите на следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
324802: Настройка групповых политик для настройки безопасности системных служб в Windows Server 2003

Метод 2. Использование шаблонов безопасности

Чтобы использовать шаблоны безопасности для изменения разрешений на системных службах, создайте шаблон безопасности следующим образом:

В меню File нажмите кнопку Добавить или Удалить привязку.

В дереве консоли щелкните правой кнопкой мыши Конфигурация безопасности и анализ, а затем нажмите кнопку Открыть базу данных.

Укажите имя и расположение базы данных, а затем нажмите кнопку Открыть.

В открываемом диалоговом окне Шаблон импорта щелкните шаблон безопасности, который необходимо импортировать, а затем нажмите кнопку Открыть.

В дереве консоли щелкните правой кнопкой мыши Конфигурация безопасности и анализ, а затем нажмите кнопку Анализ компьютера сейчас.

В диалоговом окне Выполнить анализ, который отображается, примите путь по умолчанию для файла журнала, отображаемого в поле путь файла журнала ошибок, или укажите нужное расположение, а затем нажмите кнопку ОК.

После завершения анализа настройте разрешения службы следующим образом:

1. В дереве консоли нажмите кнопку System Services.
2. В правой области дважды щелкните службу, разрешения которой необходимо изменить.
3. Щелкните, чтобы выбрать эту политику в поле проверки базы данных, а затем нажмите кнопку Изменить безопасность.
4. Чтобы настроить разрешения для нового пользователя или группы, нажмите кнопку Добавить. В диалоговом окне Выбор пользователей, компьютеров или групп введите имя пользователя или группы, для которого необходимо установить разрешения, а затем нажмите кнопку ОК.
5. В списке Разрешения для пользователя или группы настройте разрешения, которые нужны пользователю или группе. При добавлении нового пользователя или группы по умолчанию выбирается поле Разрешить рядом со стартом, остановкой и паузой. Этот параметр позволяет пользователю или группе запускать, останавливать и останавливать службу.
6. Два раза нажмите кнопку ОК .

Чтобы применить новые параметры безопасности на локальном компьютере, щелкните правой кнопкой мыши Конфигурация безопасности и анализ, а затем нажмите кнопку Настройка компьютера сейчас.

Вы также можете использовать средство командной строки Secedit для настройки и анализа системной безопасности. Дополнительные сведения о Secedit нажмите кнопку Начните, а затем нажмите кнопку Выполнить . Введите cmd в поле Открыть, а затем нажмите кнопку ОК . В командной подсказке введите secedit /? и нажмите кнопку ENTER. Обратите внимание, что при использовании этого метода для применения параметров все параметры шаблона повторно применяются, и это может переопределять другие ранее настроенные разрешения на файл, реестр или службу.

Метод 3. Использование Subinacl.exe

Последний метод назначения прав на управление службами включает использование Subinacl.exe из набора ресурсов Windows 2000. Используется следующий синтаксис:

SUBINACL /SERVICE \ \MachineName\ServiceName/GRANT=[DomainName ] UserName[=Access]

Пользователь, который выполняет эту команду, должен иметь права администратора для успешного выполнения.

Если машинное имя опущено, предполагается локализованная машина.

Если доменное имя не пропущено, локальный компьютер будет искать учетную запись.

Хотя в примере синтаксиса указывается имя пользователя, это будет работать и для групп пользователей.

Значения, которые может принимать Access, являются следующими:

F. Полный контроль
R: Общий чтение
W: Общие записи
X. Общий eXecute
L : Чтение controL
Вопрос: Конфигурация службы запросов
S. Состояние службы запросов
E: Переуметь зависимые службы
C. Конфигурация изменения службы
T: Начните службу
O: Stop Service
P: Pause/Continue Service
I : Служба допроса
U. Команды управления User-Defined служб

Если доступ опущен, предполагается "F (Полный контроль)".

Subinacl поддерживает аналогичные функции по отношению к файлам, папкам и клавишам реестра. Дополнительные сведения см. в Windows 2000 года.

Автоматизация нескольких изменений

В Subinacl нет возможности указать, что задает необходимый доступ ко всем службам на определенном компьютере. Однако в следующем примере сценария показано, как можно расширить метод 3, чтобы автоматизировать задачу:

Сохраните сценарий в качестве файла .vbs, например "Services.vbs", и назовите его следующим образом:

CSRIPT Services.vbs DomainName ComputerName UserName Access

Комментарий или удаление строки "Wscript.Echo . " если обратной связи не требуется.

В этом примере не проводится проверка ошибок; поэтому используйте его осторожно.

По умолчанию обычные пользователи, не обладающие правами администратора системы, не могут управлять системными (и большинством прикладных) службами Windows. Это означает, что они не могут останавливать, запускать (перезапускать), изменять настройки и разрешения таких служб. В некоторых случаях все-таки требуется, чтобы у пользователя были права на перезапуск и управление определенными службами. В этой статье мы разберем несколько способов управления правами на службы Windows. В частности, мы покажем, как предоставить обычному пользователю, без прав администратора Windows, права на запуск, остановку и перезапуск определенной службы.

Предположим, нам нужно предоставить доменной учетной записи contoso user права на перезапуск службы печати (Print Spooler) с системным именем Spooler.

Простого и удобного встроенного инструмента для управления разрешениями на службы в Windows нет. Мы рассмотрим несколько способ предоставления пользователю прав на службу:

Какой из них проще и удобнее – решать Вам.

Встроенная утилита SC.exe (Service controller)

Стандартный, встроенный в Windows способ управления правами на службы системы предусматривает использование утилиты sc.exe (Service Controller).

Главная, проблема – зубодробительный синтаксис формата предоставления прав на сервис (формат SDDL).

Получить текущие права на службу можно так:

sc.exe sdshow Spooler

Что значат все эти символы?

Первая буква после скобок означает: разрешить (A, Allow) или запретить (D, Deny).

Следующая пачка символов – назначаемые права.

Последние 2 буквы, объекты (группа пользователей или SID), котором предоставляются права. Есть список предустановленных групп.

AO Account operators
RU Alias to allow previous Windows 2000
AN Anonymous logon
AU Authenticated users
BA Built-in administrators
BG Built-in guests
BO Backup operators
BU Built-in users
CA Certificate server administrators
CG Creator group
CO Creator owner
DA Domain administrators
DC Domain computers
DD Domain controllers
DG Domain guests
DU Domain users
EA Enterprise administrators
ED Enterprise domain controllers
WD Everyone
PA Group Policy administrators
IU Interactively logged-on user
LA Local administrator
LG Local guest
LS Local service account
SY Local system
NU Network logon user
NO Network configuration operators
NS Network service account
PO Printer operators
PS Personal self
PU Power users
RS RAS servers group
RD Terminal server users
RE Replicator
RC Restricted code
SA Schema administrators
SO Server operators
SU Service logon user

Можно вместо предустановленной группы явно указать пользователя или группу по SID. Получить SID пользователя для текущего пользователя можно с помощью команды:

или для любого пользователя домена с помощью PowerShell комаднлета Get-ADUser:

К примеру, права пользователю на службу spooler могут быть предоставлены следующей командой:

SubInACL: назначаем права на службы с помощью утилиты Sysinternals

Гораздо проще воспользоваться консольной утилитой SubInACL из комплекта Sysinternals от Марка Руссиновича (права на которую вместе с автором теперь принадлежат Microsoft). Синтаксис этой утилиты гораздо проще и удобнее для восприятия. Как предоставить права перезапуска на службу с помощью SubInACL:

Если нужно предоставить права на службу, запущенную на удаленном компьютере, синтаксис будет такой:
subinacl /SERVICE \msk-buh01spooler /grant=contoso user=F

Если вы все сделали верно, служба должна остановиться и запуститься заново.

Process Explorer: Установка разрешений на службу

Достаточно просто изменить разрешения на службу с помощью еще одной утилиты Sysinternals — Process Explorer. Запустите Process Explorer с правами администратора и найдите в списке процессов процесс нужной вам службы. В нашем примере это spoolsv.exe (диспетчер очереди печати — C:WindowsSystem32spoolsv.exe). Откройте свойства процесса и перейдите на вкладку Services.

Нажмите на кнопку Permissions и в открывшемся окне добавьте пользователя или группу, которой нужно предоставить права на сервис и уровень полномочий.

Шаблон безопасности (Security Template)

Более наглядный (но и требующий большего количества действий) графический способ управления правами на службы – с помощью шаблонов безопасности. Для реализации, откройте консоль mmc.exe и добавьте оснастку Security Templates.

Создадим новый шаблон (New Template).

Задайте имя нового шаблона и перейдите в раздел System Services. В списке служб выберите свою службу Print Spooler и откройте ее свойства.

Установите тип запуска (Automatic) и нажмите кнопку Edit Security.

С помощью кнопки Add добавьте учетную запись пользователя или группы, которым нужно предоставить права. В нашем случае, нам достаточно права Start, Stop and pause.

Сохраните шаблон (Save).

Если открыть этот файл, можно увидеть, что данные о правах доступа сохраняются в уже ранее упомянутом SDDL формате. Полученная таким образом строка может быть использована в качестве аргументы команды sc.exe.

Осталось с помощью оснастки Security Configuration and Analysis создать новую базу данных (Open Database) и импортировать наш шаблон безопасности из файла Spooler User Rights.inf.

Применим шаблон, вызвав из контекстного меню команду Configure Computer Now.

Теперь можно под пользователем проверить, что у него появились права на управление службой Print Spooler.

Управление правами служб через групповые политики

Если нужно раздать пользователям права запуска/остановки сервиса сразу на множестве северов или компьютерах домена, проще всего воспользоваться возможностями групповых политик (GPO).

1. Создайте новую или отредактируйте существующую GPO, назначьте ее на нужный контейнер с компьютерами в Active Directory. Перейдите в раздел политик Computer configuration -> Windows Settings -> Security Settings -> System Services.
2. Найдите службу Spooler и аналогично ранее рассмотренной методике предоставьте права пользователю. Сохраните изменения.

Назначаем разрешения на службу с помощью PowerShell

В галерее TechNet имеется отдельный неофициальный модуль PowerShell для управления разрешениями на разные объекты Windows — PowerShellAccessControl Module (скачать его можно здесь). Этот модуль позволяет он управлять правами на службы. Импортируйте модуль в свою сессию:

Получить эффективные разрешения на конкретную службу из PowerShell можно так:

Get-Service spooler | Get-EffectiveAccess -Principal corp user

Чтобы предоставить обычному пользователю права на запуск и остановку службы, выполните:

Get-Service spooler | Add-AccessControlEntry -ServiceAccessRights Start,Stop -Principal corp user

Итак, мы разобрали несколько способов управления правами на службы Windows, позволяющих предоставить произвольному пользователю любые права на службы системы. В том случае, если пользователю требуется удаленный доступ к службе, без предоставления ему прав локального входа в систему, нужно разрешить пользователю удаленно опрашивать Service Control Manager.

Полезная информация об администрировании пользовательских и серверных ОС Windows.

Иногда требуется дать пользователю Windows (не администратору) права запускать определенную службу. Чтобы это сделать можно воспользоваться утилитой SubInACL от Microsoft.

Итак порядок действий такой:

— запускаем от имени администратора команду:

«C:Program Files (x86)Windows Resource KitsToolssubinacl.exe» /service ServiceName /grant=DOMAINuser=PTO

здесь ServiceName — название необходимой службы

DOMAINuser — имя пользователя в домене, кому необходим доступ на управление этой службой. (можно использовать также имена групп в домене, или локальных пользователей/групп).

— Теперь пользователь может запустить указанную службу от своего имени, например через bat-файл:

Читайте также:

  
• Process explorer не запускается windows 7
  
• Как установить onenote на windows 10
  
• Transmission windows что это
  
• Веб средство просмотра классических приложений в windows 10 что это
  
• Как выделить текст в командной строке windows