我们为Windows服务编写了服务描述符，在该服务中，用户没有特权开始/停止服务，但管理员可以启动/停止服务

Question

我们正在尝试制作一项完全由管理员控制的服务，并且用户无法访问诸如START，STOP，REST，重新启动或更改服务的启动类型或使用任务管理器结束服务。 在此阶段，我们的SDDL看起来像：d：p（a ;; cclcswrplocrrcwd ;;; sy）（a ;; cclcswlocrrcwd ;; su ;; su）（a ;; cclcswrplocrrcwd ;; ;; wd）

此SDDL给出以下许可： NT Authority \ Service：访问：允许，权限：仅此对象 - createChild，self，listObject，extendedRight，generiteCexecute，WritedAcl 权威\系统：访问：允许，权限：仅此对象 - createchild，self，gentendedRight，generread，WritedAcl 内置\管理员：访问：允许，权限：仅此对象 - createchild，self，extendedRight，genitedAcl，WritedAcl

当前没有人可以停止服务，但是我们只希望管理员才有特权来停止服务，我们需要设置帮助向上sddl相同！

Answer 1

我不确定它是否仍然相关，但是您需要ACE字符串“ WP”。这允许相关的身份（在SID字符串中提到）开始/停止服务。因此，如果您想让管理员停止和启动的能力，则需要使用以下内容（“ BA” SID字符串代表内置管理员，也可以添加管理员帐户的SID）

D:(A;;CCLCSWRPLOCRRCWDWP;;;BA)

：您写道：

D:P(A;;CCLCSWRPLOCRRCWD;;;SY)(A;;CCLCSWLOCRRCWD;;;SU)(A;;CCLCSWRPLOCRRCWDWP;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)