Cómo conceder a los usuarios derechos para administrar servicios en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 288129 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E288129
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describen varios métodos para conceder a los usuarios derechos para administrar los servicios en Windows 2000. De forma predeterminada, en Windows 2000 sólo los Administradores y los Usuarios avanzados pueden iniciar, detener o pausar servicios. En este artículo se describen técnicas para conceder estos derechos a otros usuarios y grupos.

Método 1: conceder derechos mediante Directiva de grupo

Es posible conceder estos derechos a los usuarios aplicando Directiva de grupo. Para obtener información adicional acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256345 Configurar directivas de grupo para establecer la seguridad de los servicios del sistema
Este artículo proporciona instrucciones detalladas paso a paso. Sin embargo, el artículo no dice explícitamente que no haya ninguna configuración correspondiente en Directiva de grupo local.

Método 2: conceder derechos mediante plantillas de seguridad

Este método es muy similar al método 1, pero utiliza plantillas de seguridad para cambiar los permisos en los servicios del sistema. Para ello, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, y escriba MMC.
  2. En el menú Consola, haga clic en Agregar o quitar complemento.
  3. Haga clic en Agregar.
  4. Seleccione el complemento Configuración y análisis de seguridad y haga clic en Agregar.
  5. Haga clic en Cerrar y, después, haga clic en Aceptar.
  6. En MMC, haga clic con el botón secundario del mouse (ratón) en el elemento Configuración y análisis de seguridad y, a continuación, haga clic en Abrir base de datos.
  7. Proporcione un nombre para la base de datos y vaya hasta el lugar donde desea almacenarla.
  8. Cuando se le pida, seleccione una plantilla de seguridad para importar. Por ejemplo, "basicwk.inf" contiene los valores para la configuración estándar de un equipo con Windows 2000 Professional.
  9. En MMC, haga clic con el botón secundario del mouse en el elemento Configuración y análisis de seguridad y, a continuación, haga clic en la opción Analizar el equipo ahora. Cuando se le pida, elija una ubicación para el archivo de registro.
  10. Una vez terminado el análisis, configure los permisos del servicio del siguiente modo:
    1. Haga doble clic en la rama Servicios del sistema de MMC.
    2. Haga clic con el botón secundario del mouse en el servicio que desea cambiar y, a continuación, haga clic en Seguridad.
    3. Haga clic en Modificar seguridad.
    4. Agregue las cuentas de usuario necesarias y configure los permisos para cada cuenta. De forma predeterminada, se concederá al usuario los permisos "Iniciar, detener y pausar".
  11. Para aplicar la nueva configuración al equipo local, simplemente haga clic con el botón secundario del mouse en el elemento Configuración y análisis de seguridad y, a continuación, haga clic en la opción Configurar el equipo ahora.

También es posible exportar la configuración modificada desde MMC y aplicarla a varios equipos utilizando la herramienta SECEDIT de la línea de comandos que se incluye con Windows 2000. Para obtener más información acerca de cómo usar SECEDIT, escriba lo siguiente en el símbolo del sistema:
secedit /?
NOTA
Al aplicar la configuración de esta manera se volverá a aplicar toda la configuración de la plantilla, lo que puede anular otros permisos sobre los archivos, el Registro o los servicios establecidos por otros medios.

Método 3: conceder derechos mediante Subinacl.exe

El último método para asignar derechos para administrar servicios consiste en emplear la utilidad Subinacl.exe del Kit de recursos de Windows 2000. La sintaxis es la siguiente:
SUBINACL /SERVICIO \\NombreDeEquipo\NombreDeServicio /GRANT=[NombreDeDominio\]NombreDeUsuario[=Acceso]

Notas

  • El usuario que ejecuta este comando debe tener derechos de administrador para poder completarlo correctamente.
  • Si se omite "NombreDeEquipo", se supone el equipo local.
  • Si se omite "NombreDeDominio", se busca la cuenta en el equipo local.
  • Aunque el ejemplo de la sintaxis indica un nombre de usuario, también funcionará para grupos de usuarios.
  • Los valores que 'Acceso' puede adoptar son:
       F : Full Control
       R : Generic Read
       W : Generic Write
       X : Generic eXecute
       L : Read controL
       Q : Query Service Configuration
       S : Query Service Status
       E : Enumerate Dependent Services
       C : Service Change Configuration
       T : Start Service
       O : Stop Service
       P : Pause/Continue Service
       I : Interrogate Service 
       U : Service User-Defined Control Commands
    					
  • Si se omite 'Acceso', se supone 'F (Control total)'.
  • Subinacl admite una funcionalidad similar con respecto a los archivos, carpetas y claves del Registro. Consulte el Kit de recursos de Windows 2000 para obtener más información al respecto.
  • El nombre del servicio debe ser el "nombre corto", como se utiliza para la clave específica del servicio en el Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>
    Si el nombre del servicio contiene espacios en blanco, debe escribirse todo el parámetro entre comillas. Por ejemplo:
    "\\NombreDeEquipo\Nombre del servicio con espacios"

Automatizar varios cambios

En Subinacl no hay ninguna opción que pueda especificar para establecer el acceso necesario para todos los servicios de un equipo determinado. Sin embargo, la siguiente secuencia de comandos de ejemplo demuestra una manera en la que podría extenderse el método anterior para automatizar la tarea:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object.  Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next
				

Notas

  • La secuencia de comandos debe guardarse como un archivo .vbs, como "Servicios.vbs", y se debe llamar de esta forma:
       CSCRIPT Services.vbs DomainName ComputerName UserName Access
    					
  • Ponga como comentarios o quite la línea 'Wscript.Echo...' si no se requiere ningún comentario.
  • Este ejemplo no realiza ninguna comprobación de errores, por lo que debe utilizarse con cuidado.
  • En la documentación del Kit de recursos de Windows 2000 se menciona otra utilidad (svcacls.exe) que realiza la misma manipulación de derechos de administración de servicios que Subinacl. Se trata de un error de la documentación.

Referencias

Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
269875 El archivo SVCACLS.EXE no está incluido con los kits de recursos de Windows 2000

Propiedades

Id. de artículo: 288129 - Última revisión: viernes, 20 de enero de 2006 - Versión: 4.1
La información de este artículo se refiere a:
  • Service Pack 1 de Microsoft Windows 2000
  • Microsoft Windows 2000 Advanced Server
  • Service Pack 1 de Microsoft Windows 2000
Palabras clave: 
kbhowtomaster kbenv KB288129

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com