20122012. 9. 12. 09:11

Authenticated Users group 이 MSDTC 서비스에 대해 쿼리 권한을 가지고 있는지 SC Command 를 통해 확인하고 설정을 변경하는 방법에 대한 소개입니다. 해당 명령에 대한 자세한 설명은 참고자료에 링크를 정리하였습니다.

 

다음 그림에서 볼 수 있듯이 sc sdshow msdtc 명령은 msdtc 서비스에 대해 security descriptor 를 확인하는 방법이며, sc sdset msdtc 명령으로 해당 설정을 변경할 수 있습니다.

 

 

 

위의 결과에서 (A;;CCLCSWRPLOCRRC;;;AU) 의 의미는 아래와 같습니다.

A : Allow access

 

CC : QueryConf
LC : QueryStat
SW : EnumDeps
LO : Interrogate
CR : UserDefined
RC : RCtl

 

AU : Authenticated Users

 

즉, Authenticated Users 에게 허용된 권한 정보입니다.

 

Windows Server 2003 설치 시 기본 서비스 DACLs 값은 아래와 같습니다.

 

Table 1: Windows Server 2003 default service DACLs

MSDTC

 

D:(A;;CCLCSWRPLOCRRC;;;S-1-2-0)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

 

 

[참고자료]

Cannot expand the COM+ list in the Component Services UI due to MSDTC service permission issue
http://blogs.msdn.com/b/asiatech/archive/2009/04/13/cannot-expand-the-com-list-in-the-component-services-ui-error-0x8004e00f-or-0x8004d01b.aspx

 

Troubleshooting MSDTC Permission Issues When a Distributed Transaction Starts
http://blogs.msdn.com/b/distributedservices/archive/2009/03/13/troubleshooting-msdtc-permission-issues-when-a-distributed-transaction-starts.aspx

 

Best practices and guidance for writers of service discretionary access control lists
http://support.microsoft.com/default.aspx?scid=kb;EN-US;914392

 

Sc sdshow
http://technet.microsoft.com/ko-kr/library/cc742133(v=ws.10).aspx

 

MS06-011: Permissive Windows services DACLs could lead to elevation of privilege

http://support.microsoft.com/kb/914798/en-us

 

 

작성자 : Lai Go / 작성일자 : 2012.09.12 

 

 

Posted by 사용자 Lai Go

댓글을 달아 주세요