স্থানীয় প্রশাসকদের অধিকার ছাড়াই ডোমেন ব্যবহারকারীদের রিমোট সার্ভারে চলমান পরিষেবার তালিকা গণনা করার জন্য দূরবর্তী অ্যাক্সেসের অনুমতি দেওয়ার বিশেষত্ব বিবেচনা করা যাক। আসলে, কাজটি সার্ভিস কন্ট্রোল ম্যানেজার-এর সাথে দূরবর্তী সংযোগ প্রদানের জন্য নেমে আসে (SCম্যানেজার )
এখানে সমস্যা মত দেখায় কি. ধরুন, আমরা একটি দূরবর্তী ব্যবহারকারী চাই বা মনিটরিং সিস্টেম কিছু সার্ভারে পরিষেবার অবস্থা জিজ্ঞাসা করতে পারে। সুস্পষ্ট কারণে, এই দূরবর্তী ব্যবহারকারীর কোনো প্রশাসনিক অধিকার নেই এবং স্থানীয়ভাবে সার্ভার অ্যাক্সেস করার বিশেষাধিকার নেই৷
services.msc কনসোল ব্যবহার করে রিমোট কম্পিউটারে পরিষেবার তালিকা সংযোগ এবং পেতে চেষ্টা করার সময়, ব্যবহারকারী নিম্নলিখিত ত্রুটিটি দেখতে পান:
Windows computer_name-এ সার্ভিস কন্ট্রোল ম্যানেজার ডাটাবেস খুলতে পারেনিত্রুটি 5:অ্যাক্সেস অস্বীকৃত।
আপনি sc.exe ব্যবহার করে একটি দূরবর্তী সার্ভারে পরিষেবার তালিকা পেতে চেষ্টা করলে, ত্রুটিটি নিম্নরূপ:
C:\Windows\system32>sc \\lonts-01 query
অ্যাক্সেস অস্বীকার করা হয়েছে৷
পরিষেবাগুলির তালিকার অ্যাক্সেস পরিষেবা নিয়ন্ত্রণ ব্যবস্থাপক ডাটাবেসের সুরক্ষা বর্ণনাকারী দ্বারা নিয়ন্ত্রিত হয়, যার জন্য "প্রমাণিত ব্যবহারকারী" থেকে ব্যবহারকারীদের দূরবর্তী অ্যাক্সেস ইতিমধ্যেই Windows 2003 SP1 এ সীমাবদ্ধ ছিল (এটি বেশ যৌক্তিক)। শুধুমাত্র স্থানীয় প্রশাসক গোষ্ঠীর সদস্যদের এই পরিষেবাটি দূরবর্তীভাবে অ্যাক্সেস করার অধিকার রয়েছে৷
৷আসুন বিবেচনা করি কিভাবে একটি সার্ভারে পরিষেবাগুলির তালিকা পেতে পরিষেবা নিয়ন্ত্রণ ব্যবস্থাপককে দূরবর্তী অ্যাক্সেস দেওয়া যায় এবং কীভাবে সাধারণ ব্যবহারকারীরা (প্রশাসনিক অধিকার ছাড়া) Windows Server 2012 R2-এ এই পরিষেবাগুলির স্থিতি পেতে পারে৷
কারেন্ট সার্ভিস কন্ট্রোল ম্যানেজার (SCM) অনুমতি sc.exe ব্যবহার করে পাওয়া যেতে পারে কমান্ড প্রম্পটে নিম্নোক্ত কমান্ডটি চালানোর মাধ্যমে প্রশাসকের বিশেষাধিকারের সাথে চালান:
sc sdshow scmanager
কমান্ডটি একটি অনুরূপ SDDL স্ট্রিং প্রদান করে:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
এই ক্ষেত্রে আপনি দেখতে পাচ্ছেন যে ডিফল্টরূপে প্রমাণীকৃত ব্যবহারকারী (AU) গোষ্ঠীকে শুধুমাত্র SCM ব্যবহার করে সংযোগ করার অনুমতি দেওয়া হয়, কিন্তু পোল (LC) পরিষেবাগুলির জন্য নয়। এই স্ট্রিংটি যেকোনো টেক্সট এডিটরে কপি করুন।
পরবর্তী ধাপ হল একটি ব্যবহারকারী বা গোষ্ঠীর একটি SID পাওয়া যা আমরা SCM-এর দূরবর্তী অ্যাক্সেসের অধিকার দিতে চাই (কিভাবে ব্যবহারকারীর নাম দ্বারা ব্যবহারকারীর SID পেতে হয়)। উদাহরণস্বরূপ, আসুন AD গ্রুপ lon-hd:
এর একটি SID পাই
Get-ADgroup -Identity lon-hd | select SID
SID
---
S-1-5-21-2470146451-39123456388-2999995117-23338978
আপনার টেক্সট এডিটরের SDDL স্ট্রিং থেকে ব্লক (A;;CCLCRPRC;;;IU) - (IU মানে ইন্টারেক্টিভ ইউজার) কপি করুন, কপি করা ব্লকে IU প্রতিস্থাপন করুন একটি ব্যবহারকারী/গ্রুপের SID দিয়ে এবং আগে যে স্ট্রিংটি পাবেন সেটি পেস্ট করুন। এস:
আমাদের ক্ষেত্রে আমরা নিম্নলিখিত স্ট্রিং পেয়েছি:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPRC;;;S-1-5-21-2470146451-39123456388-2999995117-23338978)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
এখন সার্ভিস কন্ট্রোল ম্যানেজার সিকিউরিটি বর্ণনাকারীর প্যারামিটার পরিবর্তন করা যাক:
sc sdset scmanager “D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPRC;;;S-1-5-21-2470146451-39123456388-2999995117-23338978)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)“
স্ট্রিং [SC] SetServiceObjectSecurity SuCCESS বলে যে নতুন নিরাপত্তা প্যারামিটারগুলি সফলভাবে প্রয়োগ করা হয়েছে, এবং ব্যবহারকারী স্থানীয়ভাবে প্রমাণীকৃত ব্যবহারকারীদের মতোই বিশেষাধিকার পেয়েছে:SC_MANAGER_CONNECT, SC_MANAGER_ENUMERATE_SERVICE, SC_MANAGER_QUERY_LOCK_STATUS এবং STANDARD_RIGHPTS_READ৷
নিশ্চিত করুন যে একজন দূরবর্তী ব্যবহারকারী sc \\srv-name1 ক্যোয়ারী
ব্যবহার করে services.msc কনসোল থেকে পরিষেবার তালিকা এবং তাদের স্থিতি পেতে পারে।
স্বাভাবিকভাবেই, পরিষেবাগুলি পরিচালনা করার জন্য আপনার কোন বিশেষাধিকার নেই, যেহেতু প্রতিটি পরিষেবার অ্যাক্সেস একটি পৃথক ACL দ্বারা নিয়ন্ত্রিত হয়। একজন ব্যবহারকারীকে সার্ভার পরিষেবাগুলি শুরু/বন্ধ করার সুযোগ দেওয়ার জন্য, ব্যবহারকারীকে উইন্ডোজ পরিষেবাগুলি পরিচালনা করার (শুরু, বন্ধ বা পুনঃসূচনা) করার অনুমতি দেওয়ার জন্য নিবন্ধের নির্দেশাবলী অনুসরণ করুন৷
টিপ . আপনি যদি সাধারণ অধিকার থেকে আলাদা কোনো SCManager অধিকার বরাদ্দ করেন, তাহলে সেগুলি HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder\Security-এ সংরক্ষিত হয়। রেজিস্ট্রি শাখা। একটি SDDL স্ট্রিং প্রস্তুত করার সময় আপনি যদি ভুল করে থাকেন তবে আপনি এই শাখাটি মুছে ফেলতে পারেন এবং বর্তমান অনুমতিগুলি ডিফল্টগুলিতে পুনরায় সেট করতে আপনার কম্পিউটার পুনরায় চালু করতে পারেন৷