如何授予用户管理 Windows Server 2003 中的服务的权限

文章翻译 文章翻译
文章编号: 325349 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍如何授予用户管理 Windows Server 2003 中的系统服务的权限。

默认状态下,只有在管理员组的成员才可以启动、 停止、 暂停、 继续或重新启动服务。本文介绍了可以用于授予用户适当的权限管理服务的方法。

方法 1: 使用组策略

要更改系统服务的权限,您可以使用组策略。有关如何执行此操作的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
324802如何: 在 Windows Server 2003 中的系统服务的配置组策略设置安全性

方法 2: 使用安全模板

若要使用安全模板来更改系统服务的权限,创建 $ 安全模板。若要这样做,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,在 打开 框中键入 mmc,然后单击 确定
  2. 文件 菜单上单击 添加/删除管理单元
  3. 单击 添加、 单击 $ 安全配置和分析、 单击 添加,单击 关闭,然后单击 确定
  4. 在控制台树中右键单击 $ 安全配置和分析,然后单击 打开数据库
  5. 指定名称和为该的数据库的位置,然后单击 打开
  6. 导入模板 对话框出现,单击要导入,安全模板,然后单击 打开
  7. 在控制台树中右键单击 $ 安全配置和分析,然后单击 立即分析计算机
  8. 执行分析 对话框出现,接受显示在 错误日志文件路径 框中的日志文件的默认路径或指定所需的位置,然后单击 确定
  9. 分析完成后请按以下方法配置服务权限:
    1. 在控制台树中单击 系统服务
    2. 在右窗格中双击服务您想要更改其权限。
    3. 单击以选中 在数据库中定义这个策略 复选框,然后单击 编辑安全
    4. 若要配置新的用户或组的权限,单击 添加。 在 选择用户、 计算机,或组 对话框中键入的用户或组为其设置权限,所需的名称,然后单击 确定
    5. User or Group 的权限 列表中配置为用户或组所需的权限。请注意当您将添加一个新的用户或组,开始、 停止和暂停 权限旁边的 允许 复选框默认情况下选中状态。此设置允许用户或组来启动、 停止,和暂停服务。
    6. 单击 确定 两次。
  10. 要将新的安全设置应用到本地计算机中,用鼠标右键单击 安全配置和分析,然后单击 立即配置计算机
: 您还可以使用 Secedit 命令行工具配置和分析系统的安全性。Secedit 有关的详细信息,单击 开始,然后单击 运行。在 打开 框中键入 cmd,然后单击 确定。命令提示符键入 secedit / 吗?,然后按 ENTER 键。 请注意,在要应用的设置使用此方法时,在模板中的所有设置重新都应用并且这可能会覆盖其他以前配置的文件、 注册表,或服务权限。


方法 3: 使用 Subinacl.exe

指派来管理服务的权限在最终方法包括从 Windows 2000 资源工具包 Subinacl.exe 实用程序使用。为此语法如下所示:
SUBINACL /SERVICE \\MachineName\ServiceName /GRANT = [DomainName\] [= Access] 的用户名

备注

  • 运行此命令,用户必须具有管理员权限才能成功完成。
  • 如果省略 MachineName,则假定为本地计算机。
  • 如果省略 DomainName,在本地计算机帐户的搜索。
  • 尽管该语法示例表示一个用户名称,这也适用于用户组太。
  • Access 可以接受的值如下所示:
       F : Full Control
       R : Generic Read
       W : Generic Write
       X : Generic eXecute
       L : Read controL
       Q : Query Service Configuration
       S : Query Service Status
       E : Enumerate Dependent Services
       C : Service Change Configuration
       T : Start Service
       O : Stop Service
       P : Pause/Continue Service
       I : Interrogate Service 
       U : Service User-Defined Control Commands
    						
  • 如果省略 Access,则假定为 F (完全控制)。
  • Subinacl 支持相对于文件、 文件夹和注册表项类似的功能。请参阅 Windows 2000 资源工具包 的详细信息。

自动执行多个更改

Subinacl,与没有的选项可以指定,将在特定计算机上设置所需的访问权限的所有服务。下面的示例脚本但是,演示方法 3 可以扩展以自动完成该任务的一种方法:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object.  Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next
					

备注

  • 将脚本另存为"Services.vbs,如的.vbs 文件,并调用它,如下所示:
       CSRIPT Services.vbs DomainName ComputerName UserName Access
    						
  • 注释掉或删除行 Wscript.Echo'...是否需要任何反馈。
  • 此示例不会不进行错误检查 ; 因此,请谨慎使用。
  • Windows 2000 资源工具包文档中提到了另一个工具 (svcacls.exe) 执行相同的服务管理权限操作作为 Subinacl 的。这是一个文档的错误。

属性

文章编号: 325349 - 最后修改: 2009年4月6日 - 修订: 8.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
关键字:?
kbmt kbmgmtservices kbenv kbhowto kbhowtomaster KB325349 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 325349
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com