Permessi ad un utente per lavorare su un solo servizio

28 Aprile 2011 - Cristiano Belli

Se vi capitasse di dover creare un “amministratore Windows dei poveri” al quale dovete far gestire solo il riavvio di un servizio e poco altro, troverete come utile la lettura di questo articolo che provo a riassumere rapidamente.

Dopo aver creato l’utente dovete conoscerne il SID. Il modo più semplice è loggarsi come tale utente sulla macchina e lanciare dal prompt il comando

whoami /all

per trovare il SID (qualcosa tipo S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx).

Lanciate ora sempre dal prompt

sc sdshow "nome_servizio"

otterrete qualcosa tipo

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOC RRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)S:(AU;FA ;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

che è la descrizione della sicurezza sul servizio “nome_servizio”.
Con il comando

sc sdset nome_servizio D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;RPWPDTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

avete aggiunto all’utente i permessi sul servizio di RP (avviare), WP (arrestare), DT (mettere in pausa/riavviare) e LO (vederne lo stato).

Testato con Windows 2003. Nell’articolo ci sono anche strade più eleganti. Questa mi è sembrata la più veloce.