C�mo conceder a los usuarios derechos para administrar servicios en Windows 2000

Id. de art�culo: 288129 - Ver los productos a los que se aplica este art�culo

Este art�culo se public� anteriormente con el n�mero E288129

En este art�culo se describen varios m�todos para conceder a los usuarios derechos para administrar los servicios en Windows 2000. De forma predeterminada, en Windows 2000 s�lo los Administradores y los Usuarios avanzados pueden iniciar, detener o pausar servicios. En este art�culo se describen t�cnicas para conceder estos derechos a otros usuarios y grupos.

M�todo 1: conceder derechos mediante Directiva de grupo

Es posible conceder estos derechos a los usuarios aplicando Directiva de grupo. Para obtener informaci�n adicional acerca de c�mo hacerlo, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

256345

(http://support.microsoft.com/kb/256345/ )

Configurar directivas de grupo para establecer la seguridad de los servicios del sistema

Este art�culo proporciona instrucciones detalladas paso a paso. Sin embargo, el art�culo no dice expl�citamente que no haya ninguna configuraci�n correspondiente en Directiva de grupo local.

M�todo 2: conceder derechos mediante plantillas de seguridad

Este m�todo es muy similar al m�todo 1, pero utiliza plantillas de seguridad para cambiar los permisos en los servicios del sistema. Para ello, siga estos pasos:

Haga clic en Inicio y en Ejecutar, y escriba MMC.
En el men� Consola, haga clic en Agregar o quitar complemento.
Haga clic en Agregar.
Seleccione el complemento Configuraci�n y an�lisis de seguridad y haga clic en Agregar.
Haga clic en Cerrar y, despu�s, haga clic en Aceptar.
En MMC, haga clic con el bot�n secundario del mouse (rat�n) en el elemento Configuraci�n y an�lisis de seguridad y, a continuaci�n, haga clic en Abrir base de datos.
Proporcione un nombre para la base de datos y vaya hasta el lugar donde desea almacenarla.
Cuando se le pida, seleccione una plantilla de seguridad para importar. Por ejemplo, "basicwk.inf" contiene los valores para la configuraci�n est�ndar de un equipo con Windows 2000 Professional.
En MMC, haga clic con el bot�n secundario del mouse en el elemento Configuraci�n y an�lisis de seguridad y, a continuaci�n, haga clic en la opci�n Analizar el equipo ahora. Cuando se le pida, elija una ubicaci�n para el archivo de registro.
Una vez terminado el an�lisis, configure los permisos del servicio del siguiente modo:
1. Haga doble clic en la rama Servicios del sistema de MMC.
2. Haga clic con el bot�n secundario del mouse en el servicio que desea cambiar y, a continuaci�n, haga clic en Seguridad.
3. Haga clic en Modificar seguridad.
4. Agregue las cuentas de usuario necesarias y configure los permisos para cada cuenta. De forma predeterminada, se conceder� al usuario los permisos "Iniciar, detener y pausar".
Para aplicar la nueva configuraci�n al equipo local, simplemente haga clic con el bot�n secundario del mouse en el elemento Configuraci�n y an�lisis de seguridad y, a continuaci�n, haga clic en la opci�n Configurar el equipo ahora.

Tambi�n es posible exportar la configuraci�n modificada desde MMC y aplicarla a varios equipos utilizando la herramienta SECEDIT de la l�nea de comandos que se incluye con Windows 2000. Para obtener m�s informaci�n acerca de c�mo usar SECEDIT, escriba lo siguiente en el s�mbolo del sistema:

secedit /?

NOTA
Al aplicar la configuraci�n de esta manera se volver� a aplicar toda la configuraci�n de la plantilla, lo que puede anular otros permisos sobre los archivos, el Registro o los servicios establecidos por otros medios.

M�todo 3: conceder derechos mediante Subinacl.exe

El �ltimo m�todo para asignar derechos para administrar servicios consiste en emplear la utilidad Subinacl.exe del Kit de recursos de Windows 2000. La sintaxis es la siguiente:

SUBINACL /SERVICIO \\NombreDeEquipo\NombreDeServicio /GRANT=[NombreDeDominio\]NombreDeUsuario[=Acceso]

Notas

El usuario que ejecuta este comando debe tener derechos de administrador para poder completarlo correctamente.
Si se omite "NombreDeEquipo", se supone el equipo local.
Si se omite "NombreDeDominio", se busca la cuenta en el equipo local.
Aunque el ejemplo de la sintaxis indica un nombre de usuario, tambi�n funcionar� para grupos de usuarios.

Los valores que 'Acceso' puede adoptar son:

   F : Full Control
   R : Generic Read
   W : Generic Write
   X : Generic eXecute
   L : Read controL
   Q : Query Service Configuration
   S : Query Service Status
   E : Enumerate Dependent Services
   C : Service Change Configuration
   T : Start Service
   O : Stop Service
   P : Pause/Continue Service
   I : Interrogate Service 
   U : Service User-Defined Control Commands

Si se omite 'Acceso', se supone 'F (Control total)'.
Subinacl admite una funcionalidad similar con respecto a los archivos, carpetas y claves del Registro. Consulte el Kit de recursos de Windows 2000 para obtener m�s informaci�n al respecto.
El nombre del servicio debe ser el "nombre corto", como se utiliza para la clave espec�fica del servicio en el Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>
Si el nombre del servicio contiene espacios en blanco, debe escribirse todo el par�metro entre comillas. Por ejemplo:
"\\NombreDeEquipo\Nombre del servicio con espacios"

Automatizar varios cambios

En Subinacl no hay ninguna opci�n que pueda especificar para establecer el acceso necesario para todos los servicios de un equipo determinado. Sin embargo, la siguiente secuencia de comandos de ejemplo demuestra una manera en la que podr�a extenderse el m�todo anterior para automatizar la tarea:

   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object.  Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next

Notas

La secuencia de comandos debe guardarse como un archivo .vbs, como "Servicios.vbs", y se debe llamar de esta forma:
```
   CSCRIPT Services.vbs DomainName ComputerName UserName Access
					
```
Ponga como comentarios o quite la l�nea 'Wscript.Echo...' si no se requiere ning�n comentario.
Este ejemplo no realiza ninguna comprobaci�n de errores, por lo que debe utilizarse con cuidado.
En la documentaci�n del Kit de recursos de Windows 2000 se menciona otra utilidad (svcacls.exe) que realiza la misma manipulaci�n de derechos de administraci�n de servicios que Subinacl. Se trata de un error de la documentaci�n.