怎样限制服务的权限

>> 欢迎您， 傲气雄鹰: 重登陆 | 退出 | 注册 | 资料 | 设置 | 排行 | 新贴 | 精华 | 管理 | 帮助

首页

小榕软件实验室

刀光雪影

怎样限制服务的权限

■ 回复数：4　◆ 点击数：210

将此页发给您的朋友

作者

主题: 怎样限制服务的权限

回复 | 收藏 | 打印 | 篇末

独孤残梦

级别：精灵王
威望：0
经验：2
货币：1791
体力：

来源：远方？
总发帖数：471
注册日期：2002-02-19

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

net

2000下面的服务默认是Everyone完全控制的，这就造成了2000下面的安全隐患，记得某款清除日志的软件就是靠停掉IIS服务来达到删除日志记录的目的吧；另外如果服务器的服务不限制权限的话万一你的服务器有什么漏洞，就算对方没有拿到管理员的权限…想必大家也都清楚意味着什么了吧。

方法一:使用组策略
1、管理工具－Active Directory用户和计算机
2、右键点击域－创建新的组织单位
3、右键点击新建的组织单位选择属性
4、选择组策略
5、创建新的组策略，进行编辑
6、计算机配置－Windows设置－安全设置－系统服务
7、双击你需要设置权限的服务
8、定义这个策略是个设置－编辑安全设置（默认是Everyone完全控制）
9、删除Everyone组，添加System组和其他有访问权限的用户。
10、分配给用户和组读取、启动、停止和暂停的权限。
11、把服务的启动模式改为自动。
12、把你所需要限制服务的计算机添加到你所创建的组织单位里面，完成！

注：如果发现设置错误的话，可以通过Regedt32编辑
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<ServiceId>\Security，删除Security键，重新启动。

方法二：使用Subinacl
Subinacl为2000ResourceKit里面提供的工具，具体语法如下。
SUBINACL /SERVICE \\ComputerName\ServiceName /GRANT=[DomainName\]UserName[=Access]
这其中：
ComputerName - 机器的NetBIOS名，省略的话代表本地
ServiceName - 服务的名称
DomainName - 域名，省略的话搜索本地的用户
UserName - 要被赋予权限的用户名称
Access - F : 完全控制 (缺省)
R : 读
W : 写
X : 执行
L : 读取控制
Q : 查询服务的设置
S : 查询服务的状态
E : 列出所依赖的服务
C : 改变服务的设置
T : 启动服务
O : 停止服务
P : 暂停／开始服务
I : 询问服务
U : 用户用命令行方式定义服务控制

如果本机的话就容易多了，比如想限定本机的DNS服务的权限是Administrator完全控制的话执行
subinacl /service \dns /grant=administrator=f就OK了。

方法三：使用脚本

提供了一个例子，根据自己的实际情况可以对下面的脚本进行修改。

jsiDomain= Wscript.Arguments.Item(0)'domain of computer account
jsiComputer = Wscript.Arguments.Item(1)'netbios ComputerName
jsiUserName = Wscript.Arguments.Item(2)'UserName (in the domain)
jsiPerm= Wscript.Arguments.Item(3)'access code
'bind to ComputerName
set objTarget = GetObject("WinNT://" & jsiDomain & "/" & jsiComputer & ",computer")
'create a shell object for call to subinacl
set objCMD = CreateObject("Wscript.Shell")
'get list of services
objTarget.filter = Array("Service")
For each Service in objTarget
command = "subinacl /service " & Service.name & " /grant=" & jsiUserName & "=" & jsiPerm
objCMD.Run command, 0
'report the services
Wscript.Echo "User granted access to " & Service.name & " "
next
NOTE: This script does NOT perform any error checking.

----------------------------------------------------------

编辑　

删除　

发表于 2002-03-20.00:09:18　

IP: 已记录

wendy

级别：精灵王
威望：0
经验：0
货币：1991
体力：

来源：bbs.ccxx.net
总发帖数：985
注册日期：2002-03-11

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

孤孤单单的人走在孤孤单单的路上，冷冷冰冰的雨敲在冷冷冰冰的心上，随风飘逝的叶落在随风飘逝的思上

----------------------------------------------------------
hacker精神只是从各行各业中的最优秀精神的结晶，以此更正大家对它的认识！

欢迎到bbs.wwenglish.org

交流英语或网络技术

编辑　

删除　

发表于 2002-03-20.01:49:57　

IP: 已记录

独孤残梦

级别：精灵王
威望：0
经验：2
货币：1791
体力：

来源：远方？
总发帖数：471
注册日期：2002-02-19

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

呵呵。你COPY我自己写的干什么啊

----------------------------------------------------------

编辑　

删除　

发表于 2002-03-20.01:51:02　

IP: 已记录

wendy

级别：精灵王
威望：0
经验：0
货币：1991
体力：

来源：bbs.ccxx.net
总发帖数：985
注册日期：2002-03-11

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

只是好笑而以

编辑　

删除　

发表于 2002-03-20.01:53:13　

IP: 已记录

独孤残梦

级别：精灵王
威望：0
经验：2
货币：1791
体力：

来源：远方？
总发帖数：471
注册日期：2002-02-19

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

为什么好笑啊。说个原因

----------------------------------------------------------

编辑　

删除　

发表于 2002-03-20.02:34:34　

IP: 已记录

选择回复

快速回复主题：	>>>高级模式
	用户名：没有注册？　密码：忘记密码？
记住密码 HTML语法禁止IDB代码禁止表情字符	[按 Ctrl+Enter 快捷键可直接提交帖子]
投票评分：	共 0 票

所有时间均为: 北京时间

↑TOP