Il blog di DiRete

Permessi ad un utente per lavorare su un solo servizio

Se vi capitasse di dover creare un “amministratore Windows dei poveri” al quale dovete far gestire solo il riavvio di un servizio e poco altro, troverete come utile la lettura di questo articolo che provo a riassumere rapidamente.

Dopo aver creato l’utente dovete conoscerne il SID. Il modo più semplice è loggarsi come tale utente sulla macchina e lanciare dal prompt il comando

whoami /all

per trovare il SID (qualcosa tipo S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx).

Lanciate ora sempre dal prompt

sc sdshow "nome_servizio"

otterrete qualcosa tipo

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOC RRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)S:(AU;FA ;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

che è la descrizione della sicurezza sul servizio “nome_servizio”.
Con il comando

sc sdset nome_servizio D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;RPWPDTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

avete aggiunto all’utente i permessi sul servizio di RP (avviare), WP (arrestare), DT (mettere in pausa/riavviare) e LO (vederne lo stato).

Testato con Windows 2003. Nell’articolo ci sono anche strade più eleganti. Questa mi è sembrata la più veloce.