Authenticated Users group 이 MSDTC 서비스에 대해 쿼리 권한을 가지고 있는지 SC Command 를 통해 확인하고 설정을 변경하는 방법에 대한 소개입니다. 해당 명령에 대한 자세한 설명은 참고자료에 링크를 정리하였습니다.
다음 그림에서 볼 수 있듯이 sc sdshow msdtc 명령은 msdtc 서비스에 대해 security descriptor 를 확인하는 방법이며, sc sdset msdtc 명령으로 해당 설정을 변경할 수 있습니다.
위의 결과에서 (A;;CCLCSWRPLOCRRC;;;AU) 의 의미는 아래와 같습니다.
CC : QueryConf
LC : QueryStat
SW : EnumDeps
LO : Interrogate
CR : UserDefined
RC : RCtl
AU : Authenticated Users
즉, Authenticated Users 에게 허용된 권한 정보입니다.
Windows Server 2003 설치 시 기본 서비스 DACLs 값은 아래와 같습니다.
Table 1: Windows Server 2003 default service DACLs
MSDTC
D:(A;;CCLCSWRPLOCRRC;;;S-1-2-0)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
[참고자료]
Cannot expand the COM+ list in the Component Services UI due to MSDTC service permission issue
http://blogs.msdn.com/b/asiatech/archive/2009/04/13/cannot-expand-the-com-list-in-the-component-services-ui-error-0x8004e00f-or-0x8004d01b.aspx
Troubleshooting MSDTC Permission Issues When a Distributed Transaction Starts
http://blogs.msdn.com/b/distributedservices/archive/2009/03/13/troubleshooting-msdtc-permission-issues-when-a-distributed-transaction-starts.aspx
Best practices and guidance for writers of service discretionary access control lists
http://support.microsoft.com/default.aspx?scid=kb;EN-US;914392
Sc sdshow
http://technet.microsoft.com/ko-kr/library/cc742133(v=ws.10).aspx
MS06-011: Permissive Windows services DACLs could lead to elevation of privilege
http://support.microsoft.com/kb/914798/en-us
작성자 : Lai Go / 작성일자 : 2012.09.12
