从没有管理员权限的应用程序启动 Windows 服务

许多方案涉及从单独的应用程序启动或停止 Windows 服务。然而，出于安全考虑，这对于非管理员用户来说似乎受到限制。如何克服这个限制，在不影响系统稳定性的情况下，让用户对服务管理进行精细化控制？

解决方案：修改服务权限

这个问题的关键在于修改服务对象的权限。通过向非管理用户授予适当的权限，我们可以允许他们以受控的方式与服务交互。

以下代码片段演示了如何设置服务的安全描述符以包含所需的权限：

wchar_t sddl[] = L"D:"
  L"(A;;CCLCSWRPWPDTLOCRRC;;;SY)"           
  L"(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)"   
  L"(A;;CCLCSWLOCRRC;;;AU)"                 
  L"(A;;CCLCSWRPWPDTLOCRRC;;;PU)"           
  L"(A;;RP;;;IU)"                         
;

PSECURITY_DESCRIPTOR sd;

if (!ConvertStringSecurityDescriptorToSecurityDescriptor(sddl, SDDL_REVISION_1, &sd, NULL))
{
   fail();
}

if (!SetServiceObjectSecurity(service, DACL_SECURITY_INFORMATION, sd))
{
   fail();
}

此特定安全描述符授予以下权限：

• 本地系统的默认权限： 授予对本地系统帐户的完全控制权。
• 管理员的默认权限： 授予管理员访问权限。
• 经过身份验证的用户的默认权限： 向所有经过身份验证的用户授予有限访问权限。
• 高级用户的默认权限： 授予高级用户完全控制权。
• 为交互式用户添加权限： 授予交互式用户启动服务的权限。

可以自定义安全描述符字符串 (SDDL)，以根据不同用户组所需的访问级别添加或删除特定权限。例如，如果您希望非管理员用户能够停止服务，可以使用以下 SDDL：

L"(A;;RPWP;;;IU)" 

这将添加 WP (WRITE_PROPERTY) 权限，允许交互式用户启动和停止服务。

通过仔细设置权限，非管理员用户可以执行基本的服务管理任务，而不会影响系统安全。