По умолчанию обычные пользователи (без прав администратора) не могут управлять системными службами Windows. Это означает, что пользовали не могут остановить, запустить (перезапустить), изменить настройки и разрешения служб Windows. В этой статье мы покажем, как настроить правами на службы Windows. В качестве примера мы покажем, как предоставить обычному пользователю, без прав администратора локального, права на запуск, остановку и перезапуск определенной службы Windows.
Предположим, нам нужно предоставить доменной учетной записи contoso\tuser права на перезапуск службы печати (Print Spooler) с системным именем Spooler. При попытке перезапустить службу под пользователей появляется ошибка:
System error 5 has occurred. Access is denied.
В Windows есть несколько способов предоставления пользователю прав на службу:
Содержание:
- Управление правами на службы из командой строки
- Назначаем разрешения на службу с помощью PowerShell
- Process Explorer: Изменить права разрешений на службу
- Управление правами на службы через групповые политики
Какой из них проще и удобнее – решать Вам.
Управление правами на службы из командой строки
Вы можете использовать встроенную утилиту sc.exe (Service Controller) для управления правами служб Windows.
-
sc show
— вывести текущие права службы: -
sc sdset
– изменить права на службу
Основной недостаток этого метода – очень сложный формата предоставления прав на сервис (используется формат SDDL — Security Description Definition Language).
Получить текущие разрешения на службу в виде SDDL строки можно так:
sc.exe sdshow Spooler
D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Что значат все эти символы?
S: — System Access Control List (SACL)
D: — Discretionary ACL (DACL)
Первая буква после скобок означает: разрешить (A, Allow) или запретить (D, Deny).
Следующая пачка символов – назначаемые права.
CC — SERVICE_QUERY_CONFIG (запрос настроек служы)
LC — SERVICE_QUERY_STATUS (опрос состояния служы)
SW — SERVICE_ENUMERATE_DEPENDENTS (опрос зависимостей)
LO — SERVICE_INTERROGATE
CR — SERVICE_USER_DEFINED_CONTROL
RC — READ_CONTROL
RP — SERVICE_START (запуск службы)
WP — SERVICE_STOP (остановка службы)
DT — SERVICE_PAUSE_CONTINUE (приостановка, продолжение службы)
Последние 2 буквы — объекты (группа пользователей или SID), котором нужно назначить права. Есть список предустановленных групп.
AU Authenticated Users
AO Account operators
RU Alias to allow previous Windows 2000
AN Anonymous logon
AU Authenticated users
BA Built-in administrators
BG Built-in guests
BO Backup operators
BU Built-in users
CA Certificate server administrators
CG Creator group
CO Creator owner
DA Domain administrators
DC Domain computers
DD Domain controllers
DG Domain guests
DU Domain users
EA Enterprise administrators
ED Enterprise domain controllers
WD Everyone
PA Group Policy administrators
IU Interactively logged-on user
LA Local administrator
LG Local guest
LS Local service account
SY Local system
NU Network logon user
NO Network configuration operators
NS Network service account
PO Printer operators
PS Personal self
PU Power users
RS RAS servers group
RD Terminal server users
RE Replicator
RC Restricted code
SA Schema administrators
SO Server operators
SU Service logon user
В DACL можно использовать предопределенные группы, или указать произвольного пользователя или группу по SID. Получить SID пользователя для текущего пользователя можно с помощью команды:
whoami /user
или для любого пользователя домена с помощью PowerShell комаднлета Get-ADUser:
Get-ADUser -Identity 'iipeshkov' | select SID
SID доменной группы можно получить с помощью командлета Get-ADGroup:
Get-ADGroup -Filter {Name -like "msk-helpdesk*"} | Select SID
Чтобы назначить SDDL строку с правами на определённую службу, используется команда sc sdset. В нашем примере нужно добавить в ACL службы следующую строку:
(A;;RPWPCR;;; S-1-5-21-2927053466-1818515551-2824591131-1110)
- A – Allow
- RPWPCR – RP (SERVICE_START) + WP (SERVICE_STOP) + CR ( SERVICE_USER_DEFINED_CONTROL)
- SID – SID пользователя или группы
Добавьте вашу ACL в конец строки, которая вернула sdshow. Чтобы применить новые права доступа на службу, воспользуйтесь командой sc sdset:
sc sdset Spooler "D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;RPWPCR;;;S-1-5-21-2927053466-1818515551-2824591131-1110)"
Если вы сформировали корректный DACL, команда вернет:
[SC] SetServiceObjectSecurity SUCCESS
Если вы указали несуществующий SID или ошиблись в синтаксисе SDDL, появится ошибка:
No mapping between account names and security IDs was done.
Проверьте, что пользователь теперь может остановить и запустить службу:
net stop spooler && net start spooler
Чтобы вывести текущие права на службу в более удобном виде, воспользуйтесь утилитой psservice.exe (https://learn.microsoft.com/en-us/sysinternals/downloads/psservice)
psservice.exe security spooler
Теперь вы видите права на службу в более удобном виде.
SERVICE_NAME: Spooler
DISPLAY_NAME: Print Spooler
ACCOUNT: LocalSystem
SECURITY:
[ALLOW] NT AUTHORITY\Authenticated Users
Query status
Query Config
Interrogate
Enumerate Dependents
User-Defined Control
Read Permissions
[ALLOW] NT AUTHORITY\SYSTEM
Query status
Query Config
Interrogate
Enumerate Dependents
Pause/Resume
Start
Stop
User-Defined Control
Read Permissions
[ALLOW] RESOURCE\a.ivanov
Change Config
Start
Stop
User-Defined Control
Read Permissions
[ALLOW] BUILTIN\Administrators
All
В предыдущих версиях Windows для управления правами на службы можно было воспользоваться консольной утилитой SubInACL (входила в Windows Resource Kit).
Чтобы разрешить перезапуск службы пользователю, выполните:
subinacl.exe /service Spooler /grant=contoso\tuser=PTO
В данном случае мы дали пользователю права на приостановку (Pause/Continue), запуск (Start) и остановку (Stop) службы. Полный список доступных разрешений:
F : Full Control R : Generic Read W : Generic Write X : Generic eXecute L : Read controL Q : Query Service Configuration S : Query Service Status E : Enumerate Dependent Services C : Service Change Configuration T : Start Service O : Stop Service P : Pause/Continue Service I : Interrogate Service U : Service User-Defined Control Commands
Чтобы лишить пользователя назначенных прав на службу в subinacl.exe используется параметр /revoke. Например:
subinacl.exe /service Spooler /revoke=contoso\tuser
Однако сейчас SubInACL недоступна для загрузки на сайте Microsoft, поэтому мы не будем рекомендовать использовать ее.
Назначаем разрешения на службу с помощью PowerShell
Вы можете изменить разрешения службы с помощью PowerShell. Встроенный командлет управления службами Set-Service позволяет по аналогии с sc sdset задать права на слуюбу с помощью формата SDDL:
$SDDL = "D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;RPWPCR;;;S-1-5-21-2927053466-1818515551-2824591131-1110)"
Set-Service -Name Spooler -SecurityDescriptorSddl $SDDL
Данный командлет доступен только после установки (обновления) PowerShell Core. В Windows PowerShell 5.1 эта команда вернет ошибку:
Set-Service : A parameter cannot be found that matches parameter name 'SecurityDescriptorSddl'.
Теперь можно под пользователем проверить, что у него появились права на управление службой Print Spooler.
Также вы можете использовать модуль Carbon из PowerShell Gallery для управления разрешениями на разные объекты Windows. Он в том числе позволяет управлять правами на службы. Установите модуль:
Install-Module -Name 'Carbon'Import-Module 'Carbon'
Чтобы предоставить права на службу, выполните команду:
Grant-CServicePermission -Identity winitpro\kbuldogov -Name spooler -QueryStatus -EnumerateDependents -Start -Stop
Чтобы вывести текущий ACL службы:
Get-ServicePermission -Name spooler|fl
Process Explorer: Изменить права разрешений на службу
Для управления правами на службу из графического интерфейса можно использовать утилиту Process Explorer (https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer(. Запустите Process Explorer с правами администратора и найдите в списке процессов процесс нужной вам службы. В нашем примере это spoolsv.exe (диспетчер очереди печати — C:\Windows\System32\spoolsv.exe). Откройте свойства процесса и перейдите на вкладку Services.
Нажмите на кнопку Permissions. В окне появится текущий ACL службы. По умолчанию для локальных пользователей доступен только просмотр службы (Read).
Добавьте пользователя или группу, которой нужно предоставить права на сервис. Теперь нужно выбрать назначить уровень полномочий. По умолчанию доступны только Full Control, Write и Read).
Чтобы разрешить запуск/остановку службы, можно предоставить право Write. Однако это позволит пользователю изменить настройки службы или удалить ее.
Чтобы разрешить только запуск/остановку службы, нажмите кнопку Advanced -> выберите вашего пользователя и нажмите Edit -> щелкните Show Advanced permissions. Оставьте в списке прав только Start, Stop, Read, Query Status и User-Defined Control.
Сохраните изменения.
Теперь выбранный пользователь может перезапускать службу.
Управление правами на службы через групповые политики
Если нужно раздать пользователям права запуска/остановку службы сразу на всех северах или компьютерах домена, проще всего воспользоваться возможностями групповых политик (GPO).
- Создайте новую или отредактируйте существующую GPO, назначьте ее на нужный контейнер с компьютерами в Active Directory. Перейдите в раздел политик Computer configuration -> Windows Settings -> Security Settings -> System Services;
- Найдите службу Print Spooler и откройте ее свойства;
- Включите опцию Define this policy settings, включите автозапуск для службы и нажмите Edit Security;
- В открывшемся окне добавьте пользователя или доменную группу, которым нужно предоставить права на службу. Предоставьте разрешение Start, stop and pause и Read;
- Осталось дождаться обновления политик на клиентских компьютерах и проверить что ваш пользователь теперь может перезапускать службу.
Где хранятся разрешения службы Windows?
Настройки безопасности для все служб, для которых вы изменили разрешения по-умолчанию хранятся в собственной ветке реестра HKLM\System\CurrentControlSet\Services\<servicename>\Security в параметре Security типа REG_BINARY.
Это означает, что одним из способов установки аналогичных разрешений на других компьютерах может быть экспорт/импорт данного параметра реестра (в том числе через GPO).
Итак, мы разобрали несколько способов управления правами на службы Windows, позволяющих предоставить произвольному пользователю любые права на системные службы. Если нужно, чтобы пользователь могу перезапускать службу удаленно (без предоставления права локального входа в систему), нужно разрешить пользователю удаленно опрашивать Service Control Manager.
Время на прочтение
3 мин
Количество просмотров 53K
Буквально сегодня понадобилось дать человеку возможность перезапускать тестовый вебсервер под виндой.
Права админа давать естественно давать не хочется.
«Мощный» юзер не подходит.
букв много
и тут на помощь приходит technet, который расcказывает про sc.
В данном случае нас интересуют 2 команды:
sc sdshow — показывает права
sc sdset — устанавливает права
Для начала узнаем, какие права у нашего сервиса уже есть:
C:\Users\administrator>sc sdshow service_name
D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Без изысков.
Как видно, есть 2 интересных префикса:
S: — System Access Control List (SACL) — это нас сейчас не интересует.
D: — Discretionary ACL (DACL) — здесь указываются права для всех и всего.
Смотрим далее.
Первая буква после скобок означает разрешаем (A, Allow) или запрещаем (D, Deny).
Мы разрешаем:
(A;;;;;)
И потом видим комбинации из двух букв:
CC - SERVICE_QUERY_CONFIG
LC - SERVICE_QUERY_STATUS
SW - SERVICE_ENUMERATE_DEPENDENTS
LO - SERVICE_INTERROGATE
CR - SERVICE_USER_DEFINED_CONTROL
RC - READ_CONTROL
RP - SERVICE_START
WP - SERVICE_STOP
DT - SERVICE_PAUSE_CONTINUE
По сути, нас будут интересовать последние три опции:
(A;;RPWPDT;;;)
Последние 2 буквы обозначают кому мы разрешаем или запрещаем:
AU Authenticated Users
AO Account operators
RU Alias to allow previous Windows 2000
AN Anonymous logon
AU Authenticated users
BA Built-in administrators
BG Built-in guests
BO Backup operators
BU Built-in users
CA Certificate server administrators
CG Creator group
CO Creator owner
DA Domain administrators
DC Domain computers
DD Domain controllers
DG Domain guests
DU Domain users
EA Enterprise administrators
ED Enterprise domain controllers
WD Everyone
PA Group Policy administrators
IU Interactively logged-on user
LA Local administrator
LG Local guest
LS Local service account
SY Local system
NU Network logon user
NO Network configuration operators
NS Network service account
PO Printer operators
PS Personal self
PU Power users
RS RAS servers group
RD Terminal server users
RE Replicator
RC Restricted code
SA Schema administrators
SO Server operators
SU Service logon user
+ к этому списку можно явно указать пользователя по SID’у.
Вот это самое интересное!
как узнать SID пользователя?
есть не один способ 
но, самый простой и удобный (на мой взгляд), написать маленький скриптик на vb:
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objAccount = objWMIService.Get _
("Win32_UserAccount.Name='username',Domain='domain'")
Wscript.Echo objAccount.SID
Заменяем имя пользователя и домен по своему вкусу, сохраняем файл с расширением .vbs и запускаем.
Появляется алерт с SID.
Копируем в блокнот(или в любое другое место)
Можно скрипт запустить в консоли, сэкономим время
И так. Узнали SID.
Вставляем в ключ:
(A;;RPWPDT;;;S-1-5-21-3992622163-2725220152-438995547-4172)
Теперь подготавливаем команду целиком:
sc sdset D:(A;;RPWPDT;;;S-1-5-21-3992622163-2725220152-438995547-4172)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Наш ключ вставляем в любое место, но важно чтобы он был перед префиксом S.
Важно не ошибиться, иначе можем потерять доступ к сервису
Запускаем.
проверяем:
sc \\server stop «service_name»
Надеюсь, основную мысль донес.
Так же жду критики, тк подозреваю что могут быть способы проще.
UPD можно, кстате, использовать группы.
для того чтобы узнать SID группы — вместо username, напишите имя группы.
Method 1: (applies to local users)
By default, users can’t control system services they’ll receive an «Error 5: Access is denied» error message. The following steps show how to use Group Policy to grant a user access to control the service (ex : print spooler service)
1, Open the Group Policy Object (GPO) that contains the computers that need the users to be able to control services.
2, Navigate to the Computer Configuration, Windows Settings, Security Settings, System Services.
3, Double-click the service for which you want to delegate permissions (e.g., Print Spooler).
4, Select the «Define this policy setting» and click Edit Security.
5, Click Add and enter the user/group to be given permissions.
6, After you select the user/group, pick the permissions you want to give to group members (e.g., «Start, stop and pause») and click OK.
7, Ensure the services startup type is correct (e.g., Automatic) and click OK.
8, After the Group Policy has been applied to the target machines, the user/group given control will be able to perform the delegated actions.
Method 2: (applies to domain users)
To Start, Stop, and Pause a service, users need the Read and the Stop, Start, and Pause permissions. These permissions are exposed only through Group Policy. You can create organizational units (OUs) that contain the workstations
that you want the policy applied to. To assign service permissions to the computers in an OU, perform these steps:
1, Open the Microsoft Management Console (MMC) Active Directory Users and Computers snap-in.
2, Right-click a Domain (example: Contoso.com) and press
New, Organizational Unit.
3, Name the OU (example: Services) and press OK.
4, Open the Microsoft Management Console (MMC)
Group Policy Management snap-in.
4, Right-click this Services OU and select
Create a GPO in this domain, and Link it here.
5, Name the policy (example:
Services) and press
OK.
6- Right-click this Services GPO and select
Edit.
7- Navigate to Computer Configuration\Windows Settings\Security Settings\System Services and
Double-click or Right-click the service you want users to manage (example:
DHCP Client).
6- Select the «Define this Policy Setting» check box, than select «Automatic«. Now select «Edit Security«. Select «Add» and add any
user or groups you desire (example: Ed.Price@Contoso.com) and press «OK«.
7- Grant the User
«Ed.Price@Contoso.com» both «Read» and «Stop, Start, and Pause» permissions and press «OK«.
8- Close the policy and press «OK«.
9- Move the computer accounts (example: CLIENT1) for which you want to apply the policy into the
Services OU.
Буквально сегодня понадобилось дать человеку возможность перезапускать тестовый вебсервер под виндой.
Права админа давать естественно давать не хочется.
«Мощный» юзер не подходит.
Способ первый:
И тут на помощь приходит technet, который расcказывает про sc.
В данном случае нас интересуют 2 команды:
sc sdshow — показывает права
sc sdset — устанавливает права
Просмотр установленных прав у сервиса:
sc sdshow ABBYY.ProcStation.FlexiCapture.10.0 sc sdshow ABBYY.ProcServer.FlexiCapture.10.0 sc sdshow ABBYY.Licensing.FlexiCapture.Standard.10.0
Вывод команды sc:
>D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
S: — System Access Control List (SACL).
D: — Discretionary ACL (DACL) — здесь указываются права для всех и всего.
Первая буква после скобок означает разрешаем (A, Allow) или запрещаем (D, Deny).
Мы разрешаем:
(A;;;;;)
И потом видим комбинации из двух букв:
CC - SERVICE_QUERY_CONFIG LC - SERVICE_QUERY_STATUS SW - SERVICE_ENUMERATE_DEPENDENTS LO - SERVICE_INTERROGATE CR - SERVICE_USER_DEFINED_CONTROL RC - READ_CONTROL RP - SERVICE_START WP - SERVICE_STOP DT - SERVICE_PAUSE_CONTINUE
По сути, нас будут интересовать последние три опции:
(A;;RPWPDT;;;)
Последние 2 буквы обозначают кому мы разрешаем или запрещаем:
AU Authenticated Users AO Account operators RU Alias to allow previous Windows 2000 AN Anonymous logon AU Authenticated users BA Built-in administrators BG Built-in guests BO Backup operators BU Built-in users CA Certificate server administrators CG Creator group CO Creator owner DA Domain administrators DC Domain computers DD Domain controllers DG Domain guests DU Domain users EA Enterprise administrators ED Enterprise domain controllers WD Everyone PA Group Policy administrators IU Interactively logged-on user LA Local administrator LG Local guest LS Local service account SY Local system NU Network logon user NO Network configuration operators NS Network service account PO Printer operators PS Personal self PU Power users RS RAS servers group RD Terminal server users RE Replicator RC Restricted code SA Schema administrators SO Server operators SU Service logon user + к этому списку можно явно указать пользователя по SID'у.
Для получения SID пользователя можно воспользоваться PowerShell, указав логин пользователя:
$name = «ababkin» (New-Object System.Security.Principal.NTAccount($name)).Translate([System.Security.Principal.SecurityIdentifier]).value
Вывод скрипта:
S-1-5-21-61352674-892392994-1602391049-1004
В итоге получаем строку для пользователя:
(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1004)
Окончательно команда будет выглядеть так:
sc sdset ABBYY.ProcStation.FlexiCapture.10.0 D:(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1020)(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1004)(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1010)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)sc sdset ABBYY.ProcServer.FlexiCapture.10.0 D:(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1020)(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1004)(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1010)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)sc sdset ABBYY.Licensing.FlexiCapture.Standard.10.0 D:(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1020)(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1004)(A;;RPWPDT;;;S-1-5-21-61352674-892392994-1602391049-1010)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Способ второй:
Используем ПО — svcadmin
(Всего просмотров: 2 381, просмотров сегодня: 1)
Иногда бывают ситуации, когда обычным пользователям в домене необходимо дать права на взаимодействие с теми или иными службами, например, остановить службу печати и сделать ее повторный запуск для решения проблем с работой принтера. Такие разрешения в домене можно раздать через групповую политику.
Для начала создадим новую групповую политику на контроллере домена и делегируем ее нужной группе пользователей, или оставляем группу “Прошедшие проверку”, чтобы политика делегировалась всем пользователям в домене.
Открываем нашу политику в редакторе и переходим по следующему пути: Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Системные службы
Находим службу, к которой необходимо предоставить права, например – “Диспетчер печати” и выбираем “Свойства”.
Ставим галочку “Определить следующий параметр политики”, ставим режим запуска службы “автоматически” и нажимаем кнопку “Изменить параметры” .
Откроется настройка безопасности для данной службы, в которой нужно добавить пользователя, либо группу пользователей, которые будут иметь права на взаимодействие с данной службой. После добавления пользователя или группы необходимо поставить галочку на “Полный доступ”. В данном примере права предоставлены группе “Пользователи домена”, то есть всем пользователям.
Действуя по аналогии можно предоставить права пользователям и к другим службам.
Чтобы не заставлять пользователя каждый раз открывать оснастку “Службы” и вручную перезапускать нужную службу, можно создать ему на рабочем столе командный файл для автоматического перезапуска. Например, для перезапуска службы печати, откройте блокнот и вставьте туда следующие параметры:
@echo off
net stop spooler
timeout /t 5
net start spooler
Сохраните файл с расширением bat или cmd, либо скачайте готовый файл отсюда.
Tags: windows