Как предоставить пользователям права на управление службами Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 325349 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается, как предоставить пользователям права на управление системными службами в Windows Server 2003.

По умолчанию только члены группы «Администраторы» можно запустить, остановить, приостановить, возобновить работу или перезапустить службу. В данной статье описываются методы, которые можно использовать для предоставления необходимых прав для пользователей для управления службами.

Метод 1: С помощью групповой политики

С помощью групповой политики для изменения разрешений на системные службы. Для получения дополнительных сведений о том, как это сделать обратитесь к следующей статье базы знаний Майкрософт:
324802Настройка групповой политики безопасности для системных служб в Windows Server 2003

Способ 2: Использование шаблонов безопасности

Использование шаблонов безопасности для изменения разрешений на системные службы, создайте шаблон безопасности. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип MMC В диалоговом окне Открыть поле, а затем нажмите кнопку ОК.
  2. На Файл меню, нажмите кнопку Добавление и удаление оснастки.
  3. Нажмите кнопку Добавить, нажмите кнопку Анализ и настройка безопасности, нажмите кнопку Добавить, нажмите кнопку Закрыть, а затем нажмите кнопку ОК.
  4. В дереве консоли щелкните правой кнопкой мыши Анализ и настройка безопасности, а затем нажмите кнопку Открыть базу данных.
  5. Укажите имя и расположение для базы данных и нажмите кнопку Открыть.
  6. В Импорт шаблона в открывшемся диалоговом окне выберите шаблон безопасности, который требуется импортировать и нажмите кнопку Открыть.
  7. В дереве консоли щелкните правой кнопкой мыши Анализ и настройка безопасности, а затем нажмите кнопку Анализ компьютера.
  8. В Выполнение анализа в открывшемся диалоговом окне примите путь по умолчанию для файла журнала, который отображается в Путь файла журнала ошибок поле или укажите расположение и нажмите кнопку ОК.
  9. После завершения анализа настройте разрешения для службы следующим образом:
    1. В дереве консоли разверните узел Системные службы.
    2. В правой области дважды щелкните имя службы, разрешения которой требуется изменить.
    3. Выберите Определить следующую политику в базе данных Установите флажок и нажмите кнопку Изменение параметров безопасности.
    4. Чтобы настроить разрешения для нового пользователя или группы, нажмите кнопку Добавить. В Выбор пользователей, компьютеров или групп диалоговом окне введите имя пользователя или группы, которую требуется установить разрешения и нажмите кнопку ОК.
    5. В Разрешения для Пользователь или группа список, настроить разрешения для пользователя или группы. Обратите внимание, что при добавлении нового пользователя или группы, Разрешить флажок рядом с Пуск, Стоп и Пауза по умолчанию выбрано разрешение. Этот параметр разрешает пользователя или группы, для запуска, остановки и приостановки службы.
    6. Нажмите кнопку ОК два раза.
  10. Чтобы применить новые параметры безопасности для локального компьютера, щелкните правой кнопкой мышиАнализ и настройка безопасности, а затем нажмите кнопку Теперь настройки компьютера.
ПРИМЕЧАНИЕ: Можно использовать также средство командной строки Secedit Настройка и анализ безопасности системы. Для получения дополнительных сведений о программе Secedit нажмите кнопку Начало, а затем нажмите кнопку Запустить. Тип cmd В диалоговом окне Открыть поле, а затем нажмите кнопку ОК. В командной строке введите: Secedit /?, а затем нажмите клавишу ВВОД. Помните, что этот метод используется для применения параметров, применяются все параметры шаблона и это могут переопределить другие ранее настроенные файла, реестра или разрешения служб.


Метод 3: Subinacl.exe использовать

Последний способ назначения прав управления службами состоит в использовании программы Subinacl.exe из Windows 2000 Resource Kit. Синтаксис выглядит следующим образом:
SUBINACL /SERVICE \\MachineName\ServiceName /GRANT = имя_пользователя [DomainName\] [= доступ]

Заметки

  • Пользователь, запустивший эту команду необходимо иметь права администратора для ее успешного завершения.
  • Если Имя_компьютера — Это аргумент опущен, предполагается локальный компьютер.
  • Если Имя_домена — Это аргумент опущен, локального компьютера выполняется поиск учетной записи.
  • Несмотря на то, что пример синтаксиса указывает имя пользователя, будет работать для групп пользователей слишком.
  • Значения, Доступ можно предпринять следующие:
       F : Full Control
       R : Generic Read
       W : Generic Write
       X : Generic eXecute
       L : Read controL
       Q : Query Service Configuration
       S : Query Service Status
       E : Enumerate Dependent Services
       C : Service Change Configuration
       T : Start Service
       O : Stop Service
       P : Pause/Continue Service
       I : Interrogate Service 
       U : Service User-Defined Control Commands
    						
  • Если Доступ Это, "F (полный доступ)" подразумевается.
  • Subinacl поддерживает аналогичные функциональные возможности для файлов, папок и разделов реестра. См. Пакет ресурсов Windows 2000 для получения дополнительных сведений.

Автоматизация многократных изменений

С помощью Subinacl не существует параметр не может указать, будет устанавливать права доступа для всех служб на конкретном компьютере. Однако приведенный ниже сценарий демонстрирует один из способов 3 метода может быть расширена для автоматизации задач:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object.  Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next
					

Заметки

  • Сохранение сценария .vbs файл, например «Services.vbs» и вызовите его следующим образом:
       CSRIPT Services.vbs DomainName ComputerName UserName Access
    						
  • Закомментировать или удалить строку "Wscript.Echo"..., если необходима обратная связь.
  • В данном примере не без ошибок; Таким образом используйте осторожно.
  • В документации Windows 2000 Resource Kit упоминания другая программа (svcacls.exe), выполняющий же манипуляции прав службы управления как Subinacl. Это ошибка в документации.

Свойства

Код статьи: 325349 - Последний отзыв: 8 июня 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbmgmtservices kbenv kbhowto kbhowtomaster kbmt KB325349 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:325349

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com