Utiliser SUBINACL pour définir qui peut interagir avec un service Windows

Bonjour,

Dans ce post je partage une découverte récente : SubInACL, un outil en ligne de commande édité par Microsoft.

Cet outil permet, parmi d’autres fonctions, d’interagir avec les services Windows afin de définir qui (user/group) peut les commander.

Il m’a été utile afin de configurer certains services applicatifs pour autoriser un groupe d’utilisateurs non-admin à redémarrer les services en question.

SubInACL peut être téléchargé ici : https://www.microsoft.com/en-us/download/details.aspx?id=23510

 

Voici la syntaxe de cet outil :

SUBINACL /SERVICE \\MachineName\ServiceName /GRANT=[DomainName\]UserName[=Access]

Les paramètres pour l’accès sont les suivants :

F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service
U : Service User-Defined Control Commands

Par exemple :

subinacl /service "DESIGO INSIGHT Trace Service" /GRANT=DOMAIN\ServicesRestartGroup=TO

 

Pour obtenir le nom exact des services afin de pouvoir les utiliser avec SubInACL, utilisez cette commande PowerShell :

Get-Service | ft -AutoSize

Voilà, j’espère que ça pourra vous être utile !

Laisser un commentaire