JAK: Udzielanie użytkownikom praw do zarządzania usługami w systemie Windows 2000

Numer ID artykułu: 288129 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL288129
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano kilka metod udzielania użytkownikom praw do zarządzania usługami w systemie Windows 2000. Domyślnie w systemie Windows 2000 tylko administratorzy i użytkownicy zaawansowani mogą uruchamiać, zatrzymywać lub wstrzymywać usługi. W tym artykule opisano techniki udostępniania tych praw innym użytkownikom i grupom.

Metoda 1: Udzielanie praw przy użyciu zasad grupy

Użytkownikom można udzielić praw, korzystając z zasad grupy. Aby uzyskać więcej informacji, jak to zrobić, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256345
(http://support.microsoft.com/kb/256345/ )
Configuring Group Policies to Set Security for System Services
Ten artykuł zawiera szczegółowe instrukcje opisujące krok po kroku, co należy zrobić. W artykule nie zostało jednak wyraźnie stwierdzone, że w lokalnych zasadach grupy nie ma odpowiednich ustawień.

Metoda 2: Udzielanie użytkownikom praw przy użyciu szablonów zabezpieczeń

Metoda ta jest bardzo podobna do metody 1, ale do zmiany uprawnień usług systemowych wykorzystywane są szablony zabezpieczeń. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, a następnie wpisz polecenie MMC.
  2. W menu Konsola kliknij polecenie Dodaj/Usuń przystawkę.
  3. Kliknij przycisk Dodaj.
  4. Wybierz przystawkę Konfiguracja i analiza zabezpieczeń, a następnie kliknij przycisk Dodaj.
  5. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  6. W konsoli MMC prawym przyciskiem myszy kliknij element Konfiguracja i analiza zabezpieczeń, a następnie kliknij polecenie Otwórz bazę danych.
  7. Nadaj nazwę bazie danych, a następnie przejdź do miejsca, w którym chcesz ją zachować.
  8. Po pojawieniu się monitu wybierz szablon zabezpieczeń do zaimportowania. Na przykład plik „basicwk.inf” zawiera wartości ustawień standardowych odnalezionych na komputerze z systemem Windows 2000 Professional.
  9. W konsoli MMC prawym przyciskiem myszy kliknij element Konfiguracja i analiza zabezpieczeń, a następnie kliknij polecenie Analizuj komputer teraz. Wybierz lokalizację pliku dziennika po pojawieniu się monitu.
  10. Po ukończeniu analizy skonfiguruj uprawnienia usługi w następujący sposób:
    1. Kliknij dwukrotnie gałąź Usługi systemowe w konsoli MMC.
    2. Prawym przyciskiem myszy kliknij usługę, którą chcesz zmienić, a następnie kliknij polecenie Zabezpieczenia.
    3. Kliknij przycisk Edytuj zabezpieczenia.
    4. Dodaj konta użytkowników zgodnie z wymaganiami i skonfiguruj uprawnienia dla każdego konta. Domyślnie użytkownik otrzyma uprawnienia „Rozpocznij, zatrzymaj i wstrzymaj”.
  11. Aby zastosować nowe ustawienia do komputera lokalnego, kliknij po prostu prawym przyciskiem myszy element Konfiguracja i analiza zabezpieczeń, a następnie kliknij opcję Konfiguruj komputer teraz.

Można również wyeksportować zmodyfikowane ustawienia z konsoli MMC i zastosować je do wielu komputerów przy użyciu narzędzia wiersza polecenia SECEDIT, dostarczonego z systemem Windows 2000. Aby uzyskać więcej informacji dotyczących używania narzędzia SECEDIT, wpisz następujące polecenie w wierszu polecenia:
secedit /?
UWAGA: Zastosowanie ustawień w taki sposób spowoduje ponowne zastosowanie wszystkich ustawień w szablonie i może spowodować zastąpienie innych uprawnień plików, Rejestru lub usług ustawionych w inny sposób.

Metoda 3: Udzielanie praw przy użyciu pliku Subinacl.exe

Ostatnią z metod przydzielania praw do zarządzania usługami jest użycie narzędzia Subinacl.exe z zestawu Windows 2000 Resource Kit. Składnia jest następująca:
SUBINACL /SERVICE \\Nazwa_komputera\Nazwa_usługi /GRANT=[Nazwa_domeny\]Nazwa_użytkownika[=Dostęp]

Uwagi

  • Użytkownik wykonujący to polecenie musi mieć prawa administratora, aby zostało wykonane pomyślnie.
  • Jeżeli zostanie pominięty parametr „Nazwa_komputera”, zostanie przyjęte założenie, że używany jest komputer lokalny.
  • Jeżeli zostanie pominięty parametr „Nazwa_domeny”, w celu odnalezienie konta przeszukiwany jest komputer lokalny.
  • Mimo że przykładowa składnia wskazuje nazwę użytkownika, będzie działać również w przypadku grup użytkowników.
  • Parametr „Dostęp” może mieć następujące wartości: 
       F: Pełna kontrola
   R: Odczyt rodzajowy
   W: Zapis rodzajowy
   X: Wykonanie rodzajowe
   L: Kontrola odczytu
   Q: Badanie konfiguracji usługi
   S: Badanie stanu usługi
   E: Wymienianie zależnych usług
   C: Konfiguracja zmiany usługi
   T: Uruchamianie usługi
   O: Zatrzymywanie usługi
   P: Wstrzymywanie/Kontynuacja usługi
   I: Pytanie usługi 
   U: Polecenia kontroli usługi zdefiniowanej przez użytkownika
  • Jeżeli parametr „Dostęp” zostanie pominięty, zostanie zastosowana wartość „F” (Pełna kontrola).
  • Narzędzie Subinacl obsługuje podobne funkcje w stosunku do plików, folderów i kluczy Rejestru. Zapoznaj się z zestawem Windows 2000 Resource Kit, aby uzyskać więcej informacji.

Automatyzacja wielu zmian

Narzędzie Subinacl nie ma opcji, dzięki której można ustawić wymagany dostęp dla wszystkich usług na danym komputerze. Następujący przykładowy skrypt pokazuje jednak sposób na poszerzenie zakresu powyższej metody, tak aby zautomatyzować zadanie: 
   strDomain   = Wscript.Arguments.Item(0)'domena, do której należy konto komputera
   strComputer = Wscript.Arguments.Item(1)'nazwa netbios komputera
   strSecPrinc = Wscript.Arguments.Item(2)'nazwa logowania użytkownika, taka jak: Nazwa_domeny\Nazwa_użytkownika
   strAccess   = Wscript.Arguments.Item(3)'przyznany dostęp, tak jak na liście w artykule KB
 
   'powiązanie z określonym komputerem
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'utworzenie objektu powłoki. Potrzebne do późniejszego wywołania subinacl
   set objCMD = CreateObject("Wscript.Shell")

   'pobranie listy usług
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'wywołanie subinacl do ustawienia uprawnień
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'raport o zmianie usług
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next

Uwagi

  • Skrypt należy zapisać jako plik .vbs, taki jak „Services.vbs” i nazwać go w następujący sposób: 
       CSRIPT Services.vbs Nazwa_domeny Nazwa_komputera Nazwa_użytkownika Dostęp
  • Wiersz „Wscript.Echo ...” należy umieścić w znacznikach komentarza albo usunąć, jeżeli odpowiedź nie jest wymagana.
  • Ten przykład nie był sprawdzany pod kątem błędów, należy więc korzystać z niego ostrożnie.
  • W zestawie Windows 2000 Resource Kit wymieniono inne narzędzie (svcacls.exe), które manipuluje prawami do zarządzania usługami w taki sam sposób jak narzędzie Subinacl. Jest to błąd dokumentacji.
Powrót na górę | Przekaż opinię

Materiały referencyjne

Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
269875
(http://support.microsoft.com/kb/269875/ )
SVCACLS.EXE Is Not Included With The Windows 2000 Resource Kits
Powrót na górę | Przekaż opinię

Właściwości

Numer ID artykułu: 288129 - Ostatnia weryfikacja: 19 września 2003 - Weryfikacja: 2.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
Słowa kluczowe: 
kbhowto kbhowtomaster kbtool kbenv KB288129
Powrót na górę | Przekaż opinię

Przekaż opinię

 
Powrót na góręPowrót na górę