आइए स्थानीय प्रशासकों के अधिकारों के बिना डोमेन उपयोगकर्ताओं को दूरस्थ सर्वर पर चल रही सेवाओं की सूची की गणना करने के लिए रिमोट एक्सेस अनुमति देने की ख़ासियत पर विचार करें। वास्तव में, कार्य सेवा नियंत्रण प्रबंधक . को दूरस्थ कनेक्शन प्रदान करने के लिए आता है (एससीमैनेजर )
यहाँ समस्या कैसी दिखती है। मान लीजिए, हम चाहते हैं कि कोई दूरस्थ उपयोगकर्ता या निगरानी प्रणाली किसी सर्वर पर सेवाओं की स्थिति को क्वेरी कर सके। स्पष्ट कारणों से, इस दूरस्थ उपयोगकर्ता के पास स्थानीय रूप से सर्वर तक पहुँचने का कोई प्रशासनिक अधिकार और विशेषाधिकार नहीं है।
services.msc कंसोल का उपयोग करके दूरस्थ कंप्यूटर पर सेवाओं की सूची को जोड़ने और प्राप्त करने का प्रयास करते समय, उपयोगकर्ता को निम्न त्रुटि दिखाई देती है:
Windows कंप्यूटर_नाम पर सेवा नियंत्रण प्रबंधक डेटाबेस खोलने में असमर्थ थात्रुटि 5:प्रवेश निषेध है।
यदि आप sc.exe का उपयोग करके दूरस्थ सर्वर पर सेवाओं की सूची प्राप्त करने का प्रयास करते हैं, तो त्रुटि इस प्रकार है:
C:\Windows\system32>sc \\lonts-01 query
प्रवेश निषेध है।
सेवाओं की सूची तक पहुंच सेवा नियंत्रण प्रबंधक डेटाबेस के सुरक्षा डिस्क्रिप्टर द्वारा नियंत्रित की जाती है, जिसके लिए "प्रमाणित उपयोगकर्ता" से उपयोगकर्ताओं की दूरस्थ पहुंच विंडोज 2003 एसपी1 में पहले से ही प्रतिबंधित थी (जो काफी तार्किक है)। केवल स्थानीय व्यवस्थापक समूह के सदस्यों को ही इस सेवा को दूरस्थ रूप से एक्सेस करने का अधिकार है।
आइए विचार करें कि सर्वर पर सेवाओं की सूची प्राप्त करने के लिए सर्विस कंट्रोल मैनेजर को रिमोट एक्सेस कैसे प्रदान किया जाए और आम उपयोगकर्ता (बिना प्रशासनिक अधिकारों के) विंडोज सर्वर 2012 R2 में इन सेवाओं की स्थिति कैसे प्राप्त कर सकते हैं।
sc.exe . का उपयोग करके वर्तमान सेवा नियंत्रण प्रबंधक (SCM) अनुमतियां प्राप्त की जा सकती हैं व्यवस्थापकीय विशेषाधिकारों के साथ चलने वाले कमांड प्रॉम्प्ट में निम्न आदेश चलाकर:
sc sdshow scmanager
कमांड एक समान एसडीडीएल स्ट्रिंग देता है:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
इस मामले में आप देख सकते हैं कि डिफ़ॉल्ट रूप से प्रमाणित उपयोगकर्ता (एयू) समूह को केवल एससीएम का उपयोग करके कनेक्ट करने की अनुमति है, लेकिन सेवाओं को मतदान (एलसी) के लिए नहीं। इस स्ट्रिंग को किसी भी टेक्स्ट एडिटर में कॉपी करें।
अगला कदम उस उपयोगकर्ता या समूह का SID प्राप्त करना है जिसे हम SCM को रिमोट एक्सेस पर अधिकार देना चाहते हैं (उपयोगकर्ता नाम द्वारा उपयोगकर्ता SID कैसे प्राप्त करें)। उदाहरण के लिए, आइए AD समूह lon-hd का एक SID प्राप्त करें:
Get-ADgroup -Identity lon-hd | select SID
SID
---
S-1-5-21-2470146451-39123456388-2999995117-23338978
अपने टेक्स्ट एडिटर में SDDL स्ट्रिंग से ब्लॉक (A;;CCLCRPRC;;;IU) - (IU का मतलब इंटरएक्टिव यूजर्स) को कॉपी करें, कॉपी किए गए ब्लॉक में IU को यूजर/ग्रुप के SID से बदलें और जो स्ट्रिंग आपको पहले मिलती है उसे पेस्ट करें एस:
हमारे मामले में हमें निम्नलिखित स्ट्रिंग मिली है:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPRC;;;S-1-5-21-2470146451-39123456388-2999995117-23338978)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
अब सर्विस कंट्रोल मैनेजर सिक्योरिटी डिस्क्रिप्टर के मापदंडों को बदलते हैं:
sc sdset scmanager “D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPRC;;;S-1-5-21-2470146451-39123456388-2999995117-23338978)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)“
स्ट्रिंग [SC] SetServiceObjectSecurity SUCCESS बताता है कि नए सुरक्षा पैरामीटर सफलतापूर्वक लागू किए गए हैं, और उपयोगकर्ता को स्थानीय रूप से प्रमाणित उपयोगकर्ताओं के समान विशेषाधिकार प्राप्त हुए हैं:SC_MANAGER_CONNECT, SC_MANAGER_ENUMERATE_SERVICE, SC_MANAGER_QUERY_LOCK_STATUS और STANDARD_RIGHTS_READ।
सुनिश्चित करें कि एक दूरस्थ उपयोगकर्ता सेवाओं की सूची और उनकी स्थिति services.msc कंसोल से sc \\srv-name1 query
का उपयोग करके प्राप्त कर सकता है
स्वाभाविक रूप से, आपके पास सेवाओं का प्रबंधन करने का कोई विशेषाधिकार नहीं है, क्योंकि प्रत्येक सेवा तक पहुंच एक व्यक्तिगत एसीएल द्वारा नियंत्रित होती है। किसी उपयोगकर्ता को सर्वर सेवाओं को प्रारंभ/बंद करने के लिए विशेषाधिकार प्रदान करने के लिए, लेख में दिए गए निर्देशों का पालन करें कि किसी उपयोगकर्ता को Windows सेवाओं को प्रबंधित (प्रारंभ, बंद या पुनरारंभ) करने की अनुमति कैसे दें।
युक्ति . यदि आप किसी भी SCManager अधिकार को विशिष्ट अधिकारों से भिन्न असाइन करते हैं, तो वे HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder\Security में सहेजे जाते हैं। रजिस्ट्री की शाखा। Anf यदि आपने SDDL स्ट्रिंग तैयार करते समय कोई गलती की है, तो आप इस शाखा को हटा सकते हैं और अपने कंप्यूटर को डिफ़ॉल्ट अनुमतियों को रीसेट करने के लिए अपने कंप्यूटर को पुनरारंभ कर सकते हैं। 