일반 사용자 계정이 속한 그룹 목록 (whoami 명령을 이용했다)
일반 사용자는 기본적으로 서비스를 제어할 권한이 없다. (DNS Client 서비스)
Helpdesk 직원에게 Service 제어를 위임하고 싶다.
1. Group Policy 이용
DNS Client 에 대한 서비스 제어 권한을 위임하는 GPO를 하나 작성해서 Link하면 끝. !!!!
2. subinacl 명령을 이용
Windows Server 2003 Resource Kit에 포함된 SubinACL 명령을 이용해서 해당 장비에서 설정
SubinACL.exe 명령 다운로드
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=23510
subinacl 명령은 반드시 관리자 권한으로 실행한 cmd 에서 실행한다.
DNS Client (DNSCACHE) 서비스에 대해서 현재 권한 설정을 조회.
subinacl /SERVICE dnscache /display
BLUEHOLE\giseong.eom 계정에게 DNS Client (DNSCACHE) 서비스의 Full Control 권한을 위임
subinacl /SERVICE dnscache /GRANT=BLUEHOLE\giseong.eom=F
DNS Client (DNSCACHE) 서비스에 대해서 현재 권한 설정을 다시 조회.
BLUEHOLE\giseong.eom 계정에 대한 설정이 추가된 것을 볼 수 있다.
위임한 권한 설정을 삭제할 때에는 /REVOKE 명령을 이용한다.
subinacl /SERVICE dnscache /REVOKE=BLUEHOLE\giseong.eom
참고자료
- 관리자가 아닌 일반 사용자 계정에 서비스 제어권한을 부여하는 방법
http://snoopybox.co.kr/1612 - How to Delegate Services control in Windows
http://lanestechblog.blogspot.com/2010/07/how-to-delegate-services-control-in.html
댓글 없음:
댓글 쓰기