グループポリシーを使用して、Windowsサービスを管理するアクセス許可を付与することはできますか？

グループポリシーを使用して、ユーザーにサービスを開始/停止する権利を与えることができます。 「セキュリティ」グループポリシーのクライアント側拡張機能を使用して、サービスのセキュリティ記述子を変更するだけです。

非常にわずかな注意点：一部のサービスでは、グループポリシーベースの変更によってサービスに課されるデフォルトのアクセス許可が好ましくない場合があります（私が話している内容を確認したい場合は、Windows Searchサービスに関するこの投稿を参照してください）約： http://peeved.org/blog/2007/12/07 ）、しかし、私の経験ではそれは珍しいことです。

グループポリシーエディターでサービスを「確認」するには、サービスがインストールされているコンピューターで編集を行う必要があります。 （これが標準のWindowsサービスである場合、それは大したことではありませんが、サードパーティがそれがインストールされているマシンに乗る場合は、MMCのコピーを「runas」し、=を対象としたグループポリシーエディターをスナップインしますGPOこれらの設定を配置する場所。）

[コンピューターの設定]、[Windowsの設定]、[セキュリティの設定]、および[システムサービス]で、開始/停止のアクセス許可を付与するサービスを探し、ポリシー設定を定義します。スタートアップの種類を選択する必要があります。 [セキュリティの編集]をクリックし、デフォルトのACLを変更して、探している権限を含めます。

GPOを制約されたコンピューターのグループでテストすることをお勧めします（GPOを1台のコンピューターのテストOUにリンクするか、またはGPO 1台のコンピューターのみ）そして、すべてのコンピューターのセキュリティを変更する前に、コンピューターが望んでいることを実行していないことを確認するだけです。

ACEのさまざまなエントリがサービスに対して何を意味するかについての背景を以下に示します。

• http://support.Microsoft.com/kb/914392
• http://msmvps.com/blogs/alunj/archive/2006/02/13/83472.aspx

SDDL表記で記述子を表示するには、「sc sdshow service-name」コマンドを使用します。

編集：

新しいサービスを作成するための委任された許可は、少し厳しいものになります。グローバルオブジェクトマネージャーのサービスコントロールマネージャー（SCM）オブジェクトのユーザーに付与できる「SC_MANAGER_CREATE_SERVICE」権限があります。

Windows Server 2003までのWindowsバージョンでは、SCMで権限を変更できませんでした。 W2K3 SP1以降、SCMの権限を変更できました。

セキュリティを変更するためのAPIはSetServiceObjectSecurityです。詳細については、こちらをご覧ください。 http://msdn.Microsoft.com/en- us/library/aa379589（VS.85）.aspx

SCMとSCMに設定されているデフォルトのDACLに付与できる権限については、こちらから入手できます。 http://msdn.Microsoft.com/en-us/library/ms685981（VS。 85）.aspx

つまり、コードを記述せずにこれを行う方法はありません。魔法のレジストリ設定などはありません。誰かにコードを書いてもらうことができれば、それは完全に実現可能です。