আমি কোনও ডোমেন-সদস্য সার্ভারে একটি স্বেচ্ছাসেবক ব্যবহারকারী বা গোষ্ঠীটিতে কোনও পরিষেবাতে কীভাবে শুরু / বন্ধ / পুনরায় চালু করার অনুমতি দেব?

61

আমাদের সার্ভারগুলিতে উইন্ডোজ পরিষেবাদির একটি স্যুট রয়েছে যা একে অপরের থেকে স্বতঃস্ফূর্তভাবে স্বয়ংক্রিয় কাজগুলি সম্পাদন করে যা অন্য পরিষেবাদিগুলি দেখাশোনা করে service

যদি কোনও পরিষেবাদি প্রতিক্রিয়া জানাতে বা হ্যাং করতে ব্যর্থ হয় সে ক্ষেত্রে, এই পরিষেবাটি পরিষেবাটি পুনরায় চালু করার চেষ্টা করে এবং চেষ্টা করার সময় যদি কোনও ব্যতিক্রম ছুঁড়ে দেওয়া হয়, পরিবর্তে সহায়তা দলকে ইমেল করে, যাতে তারা নিজেরাই পরিষেবাটি পুনরায় চালু করতে পারে।

কিছুটা গবেষণা চালিয়ে যাওয়ার পরে, আমি কয়েকটি 'সমাধান' পেয়েছি যা KB907460 এ উল্লিখিত কাজের দিক থেকে শুরু করে অ্যাকাউন্টটি প্রদানের অধীনে যা প্রশাসকের অধিকার পরিচালনা করছে।

আমি এই দুটি পদ্ধতির সাথেই স্বাচ্ছন্দ্য বোধ করি না - মাইক্রোসফ্টের জ্ঞান ভিত্তি নিবন্ধে বর্ণিত প্রথম পদ্ধতির পরিণতি আমি বুঝতে পারি না, তবে আমি অবশ্যই প্রশাসককে যে অ্যাকাউন্টটির অধীনে পরিষেবাটি চালাচ্ছে তাতে অ্যাক্সেস দিতে চাই না ।

আমি স্থানীয় সুরক্ষা নীতি এবং নীতি ছাড়াও একটি তাত্ক্ষণিকভাবে নজর রেখেছি যা কোনও অ্যাকাউন্ট কোনও পরিষেবা হিসাবে লগ ইন করতে পারে বা না তা সংজ্ঞায়িত করে, আমি অন্য কোনও কিছুই দেখতে পাচ্ছি না যা দেখে মনে হয় এটি পরিষেবাগুলিকে বোঝায়।

আমরা এটি সার্ভার ২০০৩ এবং সার্ভার ২০০৮ এ চালাচ্ছি, সুতরাং কোনও ধারণা বা পয়েন্টার কৃপণভাবে গ্রহণ করা হবে!

স্পেসিফিকেশন: আমি প্রদত্ত ব্যবহারকারী বা গোষ্ঠীকে সমস্ত পরিষেবা শুরু / বন্ধ / পুনঃসূচনা করার ক্ষমতাটি দিতে চাই না - আমি কেবল নির্দিষ্ট প্রদত্ত ব্যবহারকারীর বা গোষ্ঠীকে নির্দিষ্ট পরিষেবাদিতে এটি করার অনুমতি দিতে সক্ষম হতে চাই ।

আরও স্পষ্টতা: আমার যে সার্ভারগুলিতে এই অনুমতিগুলি দেওয়ার দরকার তা কোনও ডোমেনের অন্তর্ভুক্ত নয় - এগুলি দুটি ইন্টারনেট-মুখী সার্ভার যা ফাইলগুলি গ্রহণ করে, তাদের প্রক্রিয়া করে এবং তৃতীয় পক্ষগুলিতে প্রেরণ করে পাশাপাশি বেশ কয়েকটি ওয়েবসাইট পরিবেশন করে, তাই সক্রিয় ডিরেক্টরি গোষ্ঠী নীতি সম্ভব নয়। দুঃখিত যে আমি এই পরিষ্কার করেছিলাম না।

windows  permissions  group-policy  security  windows-service 
abitgone
সূত্র
আপনি এমএস থেকে এই নিবন্ধটি একবার দেখে নিতে পারেন, যা জিপি পরিবর্তনগুলিতেও ইঙ্গিত করে: সমর্থন.
3
দুঃখিত আমি আপনাকে মিস করেছি ... আমি ব্যস্ত ছিলাম। আপনি এর মতো কিছু খুঁজছিলেন: সার্ভারফল্ট.কোশনস
ইভান অ্যান্ডারসন
আমি জানি এটি একটি খুব পুরানো প্রশ্ন, তবে আপনি কি উইন্ডোজ পরিষেবা পরিচালকের 'পুনরুদ্ধার' বিকল্পগুলি ব্যবহার করার বিষয়টি বিবেচনা করেছেন?
টিম লং

উত্তর:

51

আপনি কোনও ডোমেইনে যোগদান না করে এটি করার কোনও জিইউআই ভিত্তিক উপায় বলে মনে হয় না - কমপক্ষে আমি কোথাও খুঁজে পাই না - তাই আমি আরও কিছু খনন করেছি এবং এর জন্য আমি উত্তর খুঁজে পেয়েছি যা কাজ করে আমাদের সিটওশন।

আমি জ্ঞান বেস নিবন্ধে স্ট্রিং প্রতিনিধিত্ব বলতে কী বোঝে নি, তবে কিছুটা খনন করে আমাকে আবিষ্কার করে যে এটি এসডিডিএল সিনট্যাক্স। আরও খনন করা আমাকে অ্যালুন জোনের এই নিবন্ধে নিয়ে যায় যা ব্যাখ্যা করে যে কীভাবে কোনও পরিষেবার জন্য সুরক্ষা বিবরণী পাবেন এবং প্রতিটি বিটের অর্থ কী। এমএস KB914392 এর আরও বিশদ রয়েছে।

পরিষেবার বিদ্যমান সুরক্ষা বর্ণনাকারী সংযোজন করতে, sc sdshow "Service Name"বিদ্যমান বর্ণনাকারী পেতে ব্যবহার করুন । যদি এটি সরল পুরানো হয়। নেট উইন্ডোজ পরিষেবা - আমাদের ক্ষেত্রে যেমন হয় - সুরক্ষা বর্ণনাকারীর এমন কিছু দেখা উচিত:

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOC
RRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)S:(AU;FA
;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

আমাদের অনুমতিগুলি RP(পরিষেবা শুরু করার জন্য), WP(পরিষেবাটি বন্ধ করার জন্য), DT( পরিষেবাটি বিরতি / চালিয়ে যাওয়ার জন্য) এবং LO(তে পরিষেবাটির বর্তমান অবস্থা সম্পর্কে জিজ্ঞাসা করা) দরকার। পাওয়ার ব্যবহারকারীদের গোষ্ঠীতে আমাদের পরিষেবা অ্যাকাউন্ট যুক্ত করে এটি করা যেতে পারে তবে আমি কেবল সেই অ্যাকাউন্টে স্বতন্ত্র অ্যাক্সেস দিতে চাই যার অধীনে রক্ষণাবেক্ষণ পরিষেবাটি চালিত হয়।

ব্যবহার runasসেবা অ্যাকাউন্টের অধীনে একটি কমান্ড প্রম্পট খোলার জন্য, আমি দৌড়ে whoami /allযা আমাকে সেবা অ্যাকাউন্টের জন্য SID দিলেন, এবং তারপর নীচে অতিরিক্ত SDDL নির্মাণ:

(A;;RPWPDTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)

এটি পরে এসডিডিএল স্ট্রিংয়ের ডি: বিভাগে যুক্ত হবে :

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOC
RRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;RPWP
DTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)S:(AU;FA;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;WD)

এটি sc sdsetকমান্ডটি ব্যবহার করে পরিষেবাতে প্রয়োগ করা হবে :

sc sdset "Service Name" D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;
CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU
)(A;;RPWPDTLO;;;S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx)S:(AU;FA;CCDCLCSW
RPWPDTLOCRSDRCWDWO;;;WD)

যদি সমস্ত পরিকল্পনা অনুসারে চলে যায় তবে পরিষেবাটি শুরু করা, থামানো, বিরতি দেওয়া এবং উপরে অবস্থিত এসআইডি দ্বারা সংজ্ঞায়িত ব্যবহারকারী দ্বারা স্থিতি অনুসন্ধান করা যেতে পারে।

abitgone
সূত্র
10
একই জিনিসটি করার আরও সহজ পদ্ধতির জন্য আপনার সেটাকল.এক্স.এক্স ব্যবহার করা উচিত । কোনও পরিষেবাতে অনুমতি নির্ধারণের জন্য এটি কীভাবে ব্যবহার করতে হয় তার একটি উদাহরণ এখানে দেওয়া হয়েছে:SetACL.exe -on "\\server1\W32Time" -ot srv -actn ace -ace "n:domain1\group1;p:start_stop"
ম্যাসন জি। ঝুইটি
2
আপনি জিইউআইয়ের জন্য সমস্ত পরিষেবা কনফিগার করতে প্রসেস হ্যাকার ( প্রসেসহ্যাকার.সোর্সফোর্জন.net ) ব্যবহার করতে পারেন । এটিতে লুকানো পরিষেবাদি অন্তর্ভুক্ত রয়েছে এবং আপনাকে বাইনারি পথের মতো পরিষেবার আরও সেটিং কনফিগার করার অনুমতি দেয় - এবং অনুমতিগুলি।
ygoe
1
কোরটেক গুই আমার জন্য কাজ করেছিল। বিশ্বাস করা শক্ত যে জিইউআই ইতিমধ্যে উইন্ডোজগুলিতে নেই। উত্তরগুলি এখানে পড়া কীভাবে এটি সম্ভবত এই কঠিন হতে পারে? মাইক্রোসফ্টের পক্ষে বড় ব্যর্থতা।
মাইককুলস
আমি CCLCSWএসডিডিএল অনুমতিগুলিতে যুক্ত করতে চাই (আরপিডাব্লুপিডিটিএলও ছাড়াও) তাই আমি গেট-সার্ভিস চালানোর সময় তালিকাভুক্ত পরিষেবাটিও দেখতে পাই (যার জন্য প্রথমে এসডিডিএল সংশোধন করা প্রয়োজন স্কেমেনজার পরিষেবা নিয়ন্ত্রণ পরিচালক পরিষেবা অ্যাক্সেসযোগ্য পরিষেবাদির তালিকাতে সক্ষম হতে) । আমার কিছু SWনির্দিষ্ট পরিষেবা পুনরায় চালু করতে সক্ষম হওয়া দরকার ।
বাওদাদ
34

আমি ঠিক একই সমস্যা।
আপনি রিসোর্স কিট থেকে SubInACL.exe ব্যবহার করতে পারেন । স্বতন্ত্র ইউটিলিটিটি এখানে ডাউনলোড করুন: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=23510

msiexec /a PathToMSIFile /qb TARGETDIR=DirectoryToExtractToআপনি .msi ইনস্টল করতে না চাইলে ফাইলগুলি এক্সট্র্যাক্ট করতে ব্যবহার করুন

  1. প্রশাসক হিসাবে একটি কমান্ড প্রম্পট খুলুন
  2. আপনি .exe যে ডিরেক্টরিটিতে রেখেছেন সেখানে যান
  3. চালান subinacl /service SERVICE_NAME /grant=COMPUTER_NAME\USERNAME=TOP

টি = পরিষেবা শুরু করুন
ও = থামান পরিষেবা
পি = বিরতি / পরিষেবা চালিয়ে যান

সম্পূর্ণ রেফারেন্স: কীভাবে উইন্ডোজ 2000 এ
টাইপ করুন বা টাইপ করুন ব্যবহারকারীদের পরিষেবাদি পরিচালনা করার অধিকারগুলি grantsubinacl /help

দ্রষ্টব্য: চেষ্টা করুন subinacl /service SERVICE_NAME /permযাতে এটি আপনাকে সমস্যায় ফেলতে পারে (পাঠ শিখেছে: পি)। নামটি বিভ্রান্তিমূলক হতে পারে (পারম! = অনুমতি), কারণ এটি সমস্ত ব্যবহারকারীর (এমনকি অ্যাডমিন!) সমস্ত অনুমতি মুছে ফেলে।

patrx
সূত্র
SO এবং SF অ্যাকাউন্টগুলিকে মার্জ করতে পারবেন না দুঃখিত প্যাট।
চপার 3
@ চপার 3 আপনার প্রতিক্রিয়া জন্য ধন্যবাদ। আসলে আমার কাছে দুটি এসও অ্যাকাউন্ট রয়েছে: একটি নিবন্ধিত এবং এই এসএফ অ্যাকাউন্টের সাথে যুক্ত; অন্যটি একটি হল অনিবন্ধিত তাই অ্যাকাউন্ট আমার কাছে তা থাকত রেজিস্টার করার আগে (ব্যবহৃত একই ইমেল ঠিকানা)। আমি আশা করছিলাম যে দু'টি একীভূত হবে যাতে আমি আগে যে পোস্টটি করেছি তা ট্র্যাক করতে পারি। এখানে উল্লিখিত হিসাবে আমি একটি পোস্ট ফ্ল্যাগ করার চেষ্টা করেছি কিন্তু এটি এসও (1 খ্যাতি) এ করতে পারিনি। এই কারণেই আমি এই পোস্টটিকে পতাকাঙ্কিত করেছি। আমি দুই সপ্তাহেরও বেশি আগে Team@stackoverflow.com কে ইমেল করার চেষ্টা করেছি কিন্তু কোনও প্রতিক্রিয়া পাইনি। আপনি আমাকে সঠিক জায়গায় / ব্যক্তি দয়া করে যেতে পারেন?
পৃষ্ঠপোষক
1
এমএসডিএন-এ এই পদ্ধতির বিশদটি দেখুন: সমর্থন.microsoft.com/?kbid=288129
মার্ক ক্লিমেট
4

আপনি কম্পিউটার কনফিগারেশন - নীতিগুলি - উইন্ডোজ সেটিংস - সুরক্ষা সেটিংস - সিস্টেম পরিষেবাদির সন্ধান করছেন

সেখানে আপনি কেবল পরিষেবা শুরুর ধরণটিই সংজ্ঞায়িত করতে পারবেন না, তবে প্রতিটি পরিষেবার জন্য সুরক্ষা এসিএলগুলিও কনফিগার করতে পারেন। ডিফল্টরূপে, ইন্টারফেসটি কেবলমাত্র জিপি সম্পাদকটি চালাচ্ছেন এমন মেশিনে ইনস্টল থাকা পরিষেবাগুলির তালিকা প্রদর্শন করবে।

কেবলমাত্র অন্য মেশিনে বিদ্যমান পরিষেবাগুলি যুক্ত করতে:

  • অন্যান্য মেশিন থেকে পরিষেবার রেগ কী রপ্তানি করুন
  • জিপিডিট মেশিনে আমদানি করুন
  • নীতি প্রয়োগ করুন
  • আমদানি করা কী মুছুন
রায়ান বোলার
সূত্র
আমার বিশ্বাস আমি আপনার মাধ্যমে এটি করতে চাইছেন gpedit.msc, কারণ "সার্ভার পরিচালনা করুন" উইন্ডো কোনও নীতি নোডের তালিকা করে না। যদি তা হয় তবে আমি সিকিউরিটি সেটিংস নোডের নীচে একটি আইটেম দেখতে পাচ্ছি না যা সার্ভার ২০০৮ বা সার্ভার ২০০৩
অ্যাবিটগন
অই হ্যাঁ. আমি ধরে নিয়েছি আপনি গ্রুপ নীতি মাধ্যমে এই পরিবর্তনগুলি করার পরিকল্পনা করছেন।
রায়ান বোলার
1
প্রকৃতপক্ষে - এগুলি সদস্য সার্ভার নয়। স্থানীয় নীতি, বা অন্য কোনও পদ্ধতি ব্যবহার করে এটি টার্গেট করার কোনও উপায় আছে কি?
অবিটগন
2

মাইএসকিউএলটিকে নিয়মিত ডোমেন ব্যবহারকারী হিসাবে (অ্যাডমিন নয়) শুরু করতে সক্ষম হতে আমি সাবিনাক্ল্যাক (প্যাট্রেক্সের পরামর্শ অনুসারে) ব্যবহার করেছি এবং এটি পুরোপুরি কাজ করে! (কমান্ডটি কমপক্ষে-স্থানীয়-অ্যাডমিন হিসাবে কার্যকর করা দরকার)

আদেশটি হ'ল:

[PATH_TO_SUBACL]\subinacl.exe /service MySQL /grant=[Domain User - Without domain]=TOP

কেবলমাত্র নোট করুন যে আমি ব্যবহারকারীর সাথে এটি ডোমেনটির সাথে প্রাক্সিক্স না করে প্রবেশ করলাম ... অন্যথায় কমান্ড পার্সিং কমান্ডে ব্যর্থ হয়!

মহিদ্দিন এম ইছির
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.