- PR -

administrator権限を持たないユーザーにサービスを開始させる

投稿者

投稿内容

モンモン: 会議室デビュー日: 2005/04/21; 投稿数: 18

投稿日時: 2005-05-09 14:27

皆様こんにちは。
現在Windows2003Serverにてローカルコンピュータのadministrator権限を持たない
ドメインユーザーに特定のサービスの開始・停止を行わせたく、思考錯誤しております。

実際にサービスウィンドウから開始すると、以下のエラーメッセージが表示され
サービスの開始ができません。

--
ローカルコンピュータの○○○サービスを開始できません。
エラー5: アクセスが拒否されました。
--

またSCコマンドでも以下のような同内容のメッセージが表示されます。

--
[SC] StartService: OpenService FAILED 5:
--

Windowsヘルプを参照しますと、以下のような記述がありますが、

--
この手順を実行するには、ローカルコンピュータの Administrators グループのメンバであるか、または適切な権限が委任されている必要があります。ドメインに参加しているコンピュータでは、Domain Admins グループのメンバがこの手順を実行できる場合があります。
--

この「Administrators グループのメンバであるか、または適切な権限が委任されている必要があります。」のうちの「適切な権限」とはどのような権限を指すのでしょうか？
また設定方法はどのようにすれば良いのでしょうか？

先輩方のお力をお貸し下さい。
宜しくお願いいたします。

kaz: ぬし; 会議室デビュー日: 2003/11/06; 投稿数: 5403

投稿日時: 2005-05-09 14:51

こんにちわ．

引用:
モンモンさんの書き込み (2005-05-09 14:27) より: この「Administrators グループのメンバであるか、または適切な権限が委任されている必要があります。」のうちの「適切な権限」とはどのような権限を指すのでしょうか？また設定方法はどのようにすれば良いのでしょうか？

Administrator と同等の権限のことです．
なので，その server の local の Administrators Group に
参加していれば良いのではないかと．

モンモン: 会議室デビュー日: 2005/04/21; 投稿数: 18

投稿日時: 2005-05-09 16:16

kazさん、質問にお答え頂きありがとうございます。
ご指摘のとおり、serverのlocalのAdministrators Groupに
ドメインユーザを参加させることで、サービスの起動はできました。

またPower Users Groupへ参加させた場合でもサービスの制御（開始・停止）は
可能でした。ありがとうございます。

ここで１点質問なのですが、通常のUsers Groupに参加しているだけでは
サービスの制御は不可能なのでしょうか？

サービスの制御だけをさせたいというのが希望でして、
宜しくお願いいたします。

やまけん: 会議室デビュー日: 2004/05/25; 投稿数: 17; お住まい・勤務地: 東京

投稿日時: 2005-05-09 16:30

制限ユーザをサービスアカウントに使う際は、次の条件を
整えることが必要なのではないでしょうか。

● サービスとしてログオン、の権利が付与されていること
(管理ツールの「ローカルセキュリティポリシー」で操作)

● そのユーザアカウントが、サービスに関連するファイルに
適切なアクセス許可を持っている事
⇒例えばプログラムの存在するディレクトリ配下で実行
権限を与えられているか、とか。
SMTP サーバのように、処理過程で一時ファイルを作る
プログラムならば、書きこみ権限も必要でしょうかね。

kaz: ぬし; 会議室デビュー日: 2003/11/06; 投稿数: 5403

投稿日時: 2005-05-09 17:12

引用:
モンモンさんの書き込み (2005-05-09 16:16) より: ここで１点質問なのですが、通常のUsers Groupに参加しているだけではサービスの制御は不可能なのでしょうか？サービスの制御だけをさせたいというのが希望でして、宜しくお願いいたします。

runas 使えば「特定の Service だけ制御」は可能かもしれませんね．

モンモン: 会議室デビュー日: 2005/04/21; 投稿数: 18

投稿日時: 2005-05-09 18:59

やまけんさん、お答え頂きありがとうございます。

引用:

やまけんさんの書き込み　2005-05-09 16:30 より：

制限ユーザをサービスアカウントに使う際は、次の条件を
整えることが必要なのではないでしょうか。

● サービスとしてログオン、の権利が付与されていること
(管理ツールの「ローカルセキュリティポリシー」で操作)

● そのユーザアカウントが、サービスに関連するファイルに
適切なアクセス許可を持っている事

上記２点は設定を行い、実行を試みたのですが、同じようにエラーメッセージが表示されてしまうのです。

どうもサービス起動中のエラーではなく、サービスを開始自体がかけられないように見受けられます。
そしてイベントビューアにも何もログが残ってません。。。

モンモン: 会議室デビュー日: 2005/04/21; 投稿数: 18

投稿日時: 2005-05-09 19:02

Kazさん、ご回答ありがとうございます。

runasコマンドも試みたのですが、このコマンドを実行する場合
権限を持つユーザー（たとえばadministrator）のパスワードを知っており、
尚且つ、実行時に入力しないといけませんよね？
他のユーザのパスワードは知られたくないのです。

後から要望を加えて申し訳ありません。
宜しくお願いいたします。

kaz: ぬし; 会議室デビュー日: 2003/11/06; 投稿数: 5403

投稿日時: 2005-05-09 21:50

引用:
モンモンさんの書き込み (2005-05-09 19:02) より: runasコマンドも試みたのですが、このコマンドを実行する場合権限を持つユーザー（たとえばadministrator）のパスワードを知っており、尚且つ、実行時に入力しないといけませんよね？他のユーザのパスワードは知られたくないのです。

任意の User を作って local の PowerUsers に所属させ，
対話的に logon 出来ないようにさせたらドウでしょう？
つまり，runas 専用の user account を作ったらどうかなと．
logon 出来ないだけであまり違いませんけど．．．

1|2 次のページへ»

＠IT SpecialPR

administrator権限を持たないユーザーにサービスを開始させる

スキルアップ／キャリアアップ（JOB@IT）