Permitir usuarios no administradores iniciar y parar servicios Windows

A la hora delegar funciones dentro de un entorno windows a veces es interesante que ciertos usuarios puedan parar un servicio de un servidor por ejemplo para instalar licencias de un programa en red permitiendo de esta manera la autogestión y liberándonos como administradores de sistemas de esa carga extra de trabajo.

Concretamente mi ejemplo ilustra dicha situación. Tenemos un usuario administrador del software Aveva PDMS y un servidor de licencias que gestiona la licencia en red de dicho programa.

Según la carga de trabajo se adquieren unas licencias u otras con un numero de usuarios X en función de esa carga de trabajo.

Esta situación puede acarrear cierto retraso en aplicar la licencia si hay que esperar a que , se pida, se reciba el archivo, se me envié, tenga x tiempo para descargarlo (si estoy en la oficina , si no tardaría mas tiempo en hacerlo), conectarme al servidor, instalar la licencia etc..

Permitiendo que el usuario según recibe el archivo pueda conectarse al servidor remoto e instale él mismo la licencia, reduce los tiempos de espera y mejora la eficiencia.

La pega que nos encontramos es que al usuario no administrador no podemos darle permisos de administrador en un servidor de la empresa es un riesgo de seguridad muy importante pero si no asignamos permisos a los servicios para que pueda pararlos e iniciarlos no habrá manera de instalar las licencias requeridas.

Para aplicar permisos sobre los servicios de windows seguiremos estos pasos.

Paso 1. Acceder a la Consola

  • Pulsamos en inicio→ejecutar o (win+R) y escribimos “mmc.exe
  • Esto nos abrirá una consola de gestión en blanco y desde esa ventana  hacemos clic en -> File > Add/Remove Snap-in… (Ctrl+ M)
  • En la lista que aparece de Snap-ins seleccionamos
    • Security Configuration and Analysis
    • Security Templatessecurity_template

Paso 2. Crear una Plantilla de seguridad Vacía.

  • Con el Botón derecho del ratón sobre Security Templates, seleccionamos New Template Search Path y buscamos una carpeta a nivel de la unidad raíz, por ejemplo c:\security.
  • Escribe un nombre par al nueva plantilla (por ejemplo servicios) y si lo quieres también una descripción.
  • Pulsa en Ok y veras la nueva plantilla en la consola.

security_template2

3. Crear la base de datos de seguridad

Con el Botón derecho sobre Security Configuration and Analysis selecciona Open Database.

Buscamos la carpeta del paso anterior c:\security y escribimos un nombre para la base de datos.

Justo después aparecerá una ventana donde debemos seleccionar el archivo *.inf que  habíamos creado antes en la plantilla de seguridad. Algo Parecido a la imagen inferior:

security_template3Después haciendo click con el botón derecho sobre Security Configuration and Analysis selecciona Analyze Computer.

click en OK para aceptar la ruta por defecto del archivo log.

Y una vez terminado ya tendremos la política de seguridad lista para personalizarla.

security_template4

Paso 4. cambiar los Permisos en los servicios.

Hacemos doble click en System Services y veremos todos los servicios que tiene la maquina instalada.

Buscamos el servicio que nos interese que el usuario no administrador pueda gestionar y con el botón derecho seleccionamos Properties.

Ahí Marcamos la casilla Define this policy in the database pulsar sobre botón Edit Security y después en Add.

En esa ventana escribimos el nombre de usuario del dominio que tendrá permiso para gestionar el servicio y ademas marcamos el permiso de “Allow permissions for Start, stop and pause“. Pulsamos en Ok hasta cerrar todas las Ventanas.

security_template5

Una vez hecho el cambio veremos que en servicio aparece un aspa de color rojo que indica que se ha realizado un cambio.

Paso 5. aplicar los nuevos permisos de seguridad.

Con el botón derecho sobre Security Configuration and Analysis seleccionar Configure Computer.

Pulsar en Ok para aceptar la ruta por defecto del archivo Log

y esperar un segundo a que se aplique la nueva configuración.

ahora veras que los servicios que se han modificado tienen un aspa de color verde indicando que han sufrido un cambio en la seguridad.

security_template6

Ahora ya puedes probar con el usuario, veras que tiene permisos para parar e iniciar el servicio y así no sera necesario establecerlo como administrador del sistema.

Alfonso López

Alfonso López

Instagram

Curso Superior Universitario en Auditoría y Seguridad Informática
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies