Какие права нужны пользователю для удаленного управления сервисами?

Question

[Роман]

Есть некий компьютер. Хочется удаленно управлять и мониторить его сервисы.

Админские права работают.

Вопрос — какие минимально необходимые права нужно выдать пользователю и где, чтобы можно было с компьютера А (домен контроллер) управлять сервисами компьютера Б (компьютер в домене) — и, очень желательно, не админские. Не конкретным сервисом, а всеми.

Answer 1

[smartlight]

Через оснастку «управление компьютером» можно рулить удаленным компьютером.
На удаленном компьютере запретить локальный вход для юзера, которому надо рулить службами.

Comments

[Роман]

Да, но какие минимальные права нужны для «руления» удаленным компьютером? Админские — это просто, но хочется именно минимально необходимые для руления сервисами.

[Николай Турнавиотов]

в локальных или групповых политиках можете посмотреть, там расписано что, кому можно

[Роман]

В том-то и дело, для удаленного запуска служб я не нашел описания в этих политиках…

Answer 2

[Vadim]

Возможно вам нужно добавить желаемую группу пользователей в группу «Продвинутые пользователи» на клиентской машине(ах).
Реализация задачи такая.

Comments

[Роман]

Это которые Power Users? Если да — то не помогло

Answer 3

[Михаил Лялин]

м.б., проще пойти со стороны отказа от участия пользователя в управлении сервисами

Comments

[Роман]

не совсем понял вас… т.е. сделать учетку администратора и максимально ее обрезать? КМК, так не бывает, на то он и админ :) Точнее можно лимитировать, но мне кажется это еще большим геморроем

[Михаил Лялин]

закладка «Восстановление» для сервисов и ПО для внешнего мониторинга

[Роман]

А причем тут «Восстановление» сервиса к управлению ими удаленно?

[Михаил Лялин]

при правильной настройки уведомлений, перезапуска и т.п. служб 90% проблем с их мониторингом исчезает

[Роман]

Отлично. Расскажите мне, как это поможет узнать мониторящей системе, что служба на определенном компьютере к примеру перезапустилась три раза? + заодно как это настроить на паре десятков серверов, учитывая что службы немножко разные везде… ну, вариант прошерстить ручками и везде все задать в принципе работает, но это не " путь кун-фу " =)
Можно, конечно, мониторить эвент лог, но не все службы там вроде отмечаются (или я ошибаюсь? )

[Михаил Лялин]

1) о перезагрузке — настроить уведомление (http://jets.kiev.ua/2010/03/21/monitoring-sobyitiy-windows-server-s-otpravkoy-sobyitiya-na-pochtu/)
2) для большого числа серверов — использовать системы мониторинга (http://ruunix.ru/1657-monitoring-windows-serverov-s-pomoshhyu-nagios.html, www.osp.ru/win2000/2011/04/13009375/, www.netwrix.com/ru/windows_services_monitoring_freeware.html)

[Роман]

mr_jok — так в том то и дело, что мониторинг для мониторинга сервисов и их останова/перезапуска требует разрешения.
Но, если я что-то понял из support.microsoft.com/kb/914392 — на каждый сервис в винде прописаны определенные уровни доступа для определенных групп.
И походу, общая группа, которая может управлять всеми сервисами — это администраторы :(