Besoin d'autoriser les utilisateurs standard à exécuter les commandes sc stop / sc start pour e1iexpress

1

Un problème persistant est que, sur nos ordinateurs, nos pilotes Internet se bloquent lorsque les ordinateurs portables se déplacent d’un endroit à l’autre. En théorie, nous pourrions résoudre ce problème en donnant aux utilisateurs un script pour redémarrer le pilote avec sc stop et sc start; en pratique, nous ne pouvons pas donner à nos utilisateurs d'autorisations d'administrateur, et toute méthode impliquant / SaveCred demanderait beaucoup de temps, car nous avons pas mal d'ordinateurs ici. (Sauf si nous pouvons utiliser SaveCred une fois sur un serveur et laisser tout le monde accéder à ce fichier de commandes? Je ne sais pas si cela fonctionne.)

Nous exécutons Win10 avec un backend Active Directory. Toute aide serait très appréciée. :)

drivers permissions batch active-directory J.Swersey
la source

Réponses:

1

Les services (y compris les pilotes) ont un descripteur de sécurité , autrement dit une ACL, similaire aux fichiers et aux dossiers. Ceci décrit quels utilisateurs peuvent utiliser quels contrôles (démarrer, arrêter, mettre en pause, etc.)

Vous pouvez récupérer le descripteur de sécurité brut via sc sdshow <svcname>, le mettre à jour avec de nouveaux droits d'accès, puis l'utiliser sc sdset ...pour le stocker. Consultez ce fil ServerFault pour des instructions sur la manière de le faire manuellement.

Vous pouvez probablement définir des autorisations de service via la stratégie de groupe. Malheureusement, l'éditeur de stratégie semble ne répertorier que les services Windows intégrés (sans possibilité de saisir un nom personnalisé), bien que techniquement, il n'y ait aucune raison pour laquelle il ne devrait pas pouvoir les modifier.

Des programmes tiers existent également pour éditer graphiquement les ACL de service. Personnellement, j'utiliserais "Process Hacker" pour créer le SD souhaité sur un ordinateur, puis le récupérer sc sdshowet le distribuer. Il y a aussi SubInACL, éventuellement PowerShell Set-Acl .

Voir également:

Grawity
la source
1
En théorie, je devrais pouvoir utiliser le contrôleur de domaine pour lancer la commande sc sdset dans un script de démarrage et donner aux utilisateurs authentifiés le droit de démarrer / arrêter ces commandes avec RP / WP. Cela a fonctionné, mais lorsque j'ai essayé d'arrêter le service, l'erreur est passée de "Accès refusé" à [SC] ControlService FAILED 1052: le contrôle demandé n'est pas valide pour ce service. Ce qui est ... génial . Cela a donc pu être une perte de temps. Mais merci beaucoup pour la réponse! :)
J.Swersey