Através do comando sc é possível Criar, Editar, Customizar e Excluir serviços no Windows de forma local ou remota, neste artigo vou mostrar os passos de como permitir que um Usuário Comum (Domain Users) consiga Administrar um Serviço do Windows.

Em que situação este procedimento pode ser útil?
Imagine um cenário onde você tem uma equipe que precisa ter acesso ao servidor para administrar (Start/Stop/Restart) um ou vários serviços do windows, porém por questões de segurança você não pode adicioná-los ao grupo de administrador do servidor esta é uma das alternativas que pode atender esta necessidade.

Cenário:

Hostname : DC-2012
Descrição : Servidor Domain Controller (100SECURITY)

Hostname : SRV-2008
Descrição : Servidor de Impressão

Usuários :
100SECURITY\Administrator
Grupo : Domain Admins

100SECURITY\Marcos
Grupo : Domain Users
Grupo : Suporte // Crie este grupo no Active Directory

01 - Passo

No servidor DC-2012, adicione o usuário Marcos ao grupo Suporte dentro do Active Directory.

02 - Passo

No servidor SRV-2008 permita que o grupo Suporte consiga logar no servidor remotamente, para isso basta adicioná-lo no grupo Remote Desktop Users.

03 - Passo

Ao logar no servidor SRV-2008 com o usuário Marcos tente executar (Start/Stop/Restart) no serviço Print Spooler.

Como pode visualizar não é possível pois o usuário Marcos não possui nenhum privilégio administrativo.

04 - Passo

No servidor DC-2012, execute o Command Prompt como Administrator em seguida o comando abaixo para obter os atributos do grupo Suporte.

Windows
C:\>dsquery group -name "Suporte"

05 - Passo

Para obter o SID do grupo Suporte execute o comando abaixo:

Windows
C:\>dsget group "CN=Suporte,CN=Users,DC=100security,DC=local" -sid S-1-5-21-2388764564-824077213-4166085585-1109

06 - Passo

Retorne ao servidor SRV-2008 e clique nas Propriedades do serviço Print Spooler para verificar qual Nome do Serviço : Spooler.

07 - Passo

Execute o Command Prompt como Administrator e logue com o usuário Administrator (Domain Admins).

08 - Passo

Exiba o descritor de segurança do serviço Spooler utilizando o comando sc sdshow.

Windows
C:\>sc sdshow Spooler

D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

09 - Passo

Customize o descritor de segurança do serviço Spooler baseado nas informações já coletadas.

Descritor de Segurança do serviço Spooler :

Windows
D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

SID do grupo Suporte :

Windows
S-1-5-21-2388764564-824077213-4166085585-1109

Customização :

Windows
(A;;CCLCSWRPWPDTLOCRRC;;;SID-SUPORTE)
(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-21-2388764564-824077213-4166085585-1109)

10 - Passo

Agora vamos definir o novo descritor de segurança do serviço Spooler.

Observações :
O último bloco de descritor é S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) sendo assim o SID do grupo de Suporte deve ser adicionado antes deste bloco como segue no exemplo abaixo.

Windows
C:\>sc sdset Spooler D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-21-2388764564-824077213-4166085585-1109)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

11 - Passo

Os privilégios ao grupo Suporte são atribuídos imediatamente, basta acessar o services.msc e conferir as liberações realizadas, agora todos os usuários que estiverem dentro do grupo Suporte conseguem administrar o serviço Printer Spooler.



  Autor

Marcos Henrique

 São Paulo/SP



  Windows Server

© 2020 - 100SECURITY

Contato