非管理员用户能否在不影响系统安全的情况下启动 Windows 服务？

从没有管理员权限的应用程序启动 Windows 服务

许多方案涉及从单独的应用程序启动或停止 Windows 服务。然而，出于安全考虑，这对于非管理员用户来说似乎受到限制。如何克服这个限制，让用户能够在不影响系统稳定性的情况下，对服务管理进行精细化控制？

解决方案：修改服务权限

问题的关键在于修改服务对象的权限。通过向非管理用户授予适当的权限，我们可以允许他们以受控的方式与服务交互。

以下代码片段演示了如何设置服务的安全描述符以包含所需的权限：

<code class="c++">wchar_t sddl[] = L"D:"
  L"(A;;CCLCSWRPWPDTLOCRRC;;;SY)"           
  L"(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)"   
  L"(A;;CCLCSWLOCRRC;;;AU)"                 
  L"(A;;CCLCSWRPWPDTLOCRRC;;;PU)"           
  L"(A;;RP;;;IU)"                         
;

PSECURITY_DESCRIPTOR sd;

if (!ConvertStringSecurityDescriptorToSecurityDescriptor(sddl, SDDL_REVISION_1, &sd, NULL))
{
   fail();
}

if (!SetServiceObjectSecurity(service, DACL_SECURITY_INFORMATION, sd))
{
   fail();
}</code>

此特定安全描述符授予以下权限：

• 本地系统的默认权限：授予对本地系统帐户的完全控制权。
• 管理员的默认权限： 授予管理员访问权限。
• 经过身份验证的用户的默认权限： 向所有经过身份验证的用户授予有限访问权限。
• 高级用户的默认权限： 授予高级用户完全控制权。
• 为交互式用户添加权限： 授予交互式用户启动服务的权限。

可以自定义安全描述符字符串 (SDDL)，以根据不同用户组所需的访问级别添加或删除特定权限。例如，如果您希望非管理员用户能够停止服务，可以使用以下 SDDL：

L"(A;;RPWP;;;IU)" 

这将添加 WP (WRITE_PROPERTY) 权限，允许交互式用户启动并停止服务。

通过仔细设置权限，非管理员用户可以在不影响系统安全的情况下执行基本的服务管理任务。

以上是非管理员用户能否在不影响系统安全的情况下启动 Windows 服务？的详细内容。更多信息请关注PHP中文网其他相关文章！