كيفية منح حقوق المستخدمين لإدارة الخدمات في Windows Server 2003

للحصول على إصدار نظام التشغيل Microsoft Windows 2000 من هذه المقالة، راجع 288129 .

في هذه المهمة

ملخص

توضح هذه المقالة كيفية منح المستخدمين سلطة إدارة خدمات النظام في Windows Server 2003.


بشكل افتراضي، فقط لأعضاء مجموعة المسؤولين بدء، إيقاف، إيقاف مؤقت، استئناف أو إعادة تشغيل خدمة. توضح هذه المقالة الطرق التي يمكنك استخدامها لمنح الحقوق المناسبة للمستخدمين لإدارة الخدمات.


الطريقة الأولى: استخدام نهج المجموعة

يمكنك استخدام "نهج المجموعة" لتغيير الأذونات على خدمات النظام. للحصول على معلومات إضافية حول كيفية القيام بذلك، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
324802 كيفية: تكوين نهج المجموعة لتعيين الأمان لخدمات النظام في نظام التشغيل Windows Server 2003

الطريقة الثانية: استخدام قوالب الأمان

لاستخدام قوالب الأمان لتغيير الأذونات على خدمات النظام، إنشاء قالب أمان. للقيام بذلك، اتبع الخطوات التالية:

  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، اكتب mmc في المربع فتح ، وثم انقر فوق موافق.
  2. من القائمة ملف ، انقر فوق إضافة/إزالة أداة إضافية.
  3. انقر فوق إضافة، انقر فوق تكوين وتحليل الأمان، انقر فوق إضافة، انقر فوق إغلاق، وثم انقر فوق موافق.
  4. في شجرة وحدة التحكم، انقر نقراً مزدوجاً فوق تكوين وتحليل الأمان، ومن ثم انقر فوق فتح قاعدة البيانات.
  5. حدد اسم وموقع قاعدة البيانات ومن ثم انقر فوق فتح.
  6. في مربع الحوار استيراد القالب التي تظهر، انقر فوق قالب الأمان الذي تريد استيراده ومن ثم انقر فوق فتح.
  7. في شجرة وحدة التحكم، انقر نقراً مزدوجاً فوق تكوين وتحليل الأمان، ومن ثم انقر فوق تحليل الكمبيوتر الآن.
  8. في مربع الحوار إجراء التحليل الذي يظهر، قبول المسار الافتراضي لملف السجل الذي يتم عرضه في المربع مسار ملف سجل الخطأ أو تحديد الموقع الذي تريده، وثم انقر فوق موافق.
  9. بعد اكتمال التحليل، تكوين أذونات الخدمات كما يلي:
    1. في شجرة وحدة التحكم، انقر فوق خدمات النظام.
    2. في الجزء الأيسر، انقر نقراً مزدوجاً فوق الخدمة التي تريد تغيير أذوناتها.
    3. انقر لتحديد خانة الاختيار تعريف هذا النهج في قاعدة البيانات ، ومن ثم انقر فوق تحرير الأمان.
    4. لتكوين أذونات لمجموعة أو مستخدم جديد، انقر فوق إضافة. في مربع الحوار تحديد مستخدمين أو أجهزة كمبيوتر، أو مجموعات ، اكتب اسم المستخدم أو المجموعة التي تريد تعيين أذونات له، ومن ثم انقر فوق موافق.
    5. في قائمة الأذونات مستخدم أو مجموعة ، تكوين الأذونات التي تريدها للمستخدم أو المجموعة. لاحظ أن تحديد خانة الاختيار إلى جانب إذن بدء التشغيل والإيقاف ووقفه بشكل افتراضي عند إضافة مستخدم جديد أو مجموعة. يسمح هذا الإعداد للمستخدم أو المجموعة لتشغيل، إيقاف، إيقاف الخدمة مؤقتاً.
    6. انقر نقرا مزدوج فوق موافق .
  10. لتطبيق إعدادات أمان جديدة للكمبيوتر المحلي، انقر بالزر الأيمن
    تكوين وتحليل الأمان، ثم انقر فوق تكوين الكمبيوتر الآن.
ملاحظة: يمكنك استخدام أيضا أداة سطر الأوامر Secedit لتكوين وتحليل أمان النظام. لمزيد من المعلومات حول Secedit، انقر فوق ابدأ، ومن ثم انقر فوق تشغيل. اكتب cmd في المربع فتح ، ومن ثم انقر فوق موافق. في موجه الأوامر، اكتب secedit/؟، ثم اضغط ENTER. لاحظ أنه عند استخدام هذا الأسلوب لتطبيق الإعدادات، يتم إعادة تطبيق كافة الإعدادات الموجودة في القالب، وقد تجاوز هذا الملف تم تكوينه مسبقاً أو التسجيل أذونات الخدمات الأخرى.


الطريقة الثالثة: استخدام Subinacl.exe

يتضمن الأسلوب النهائي لتعيين حقوق لإدارة خدمات استخدام الأداة المساعدة Subinacl.exe من Windows 2000 Resource Kit. بناء الجملة هذا كما يلي:

خدمة SUBINACL \\MachineName\ServiceName/منح = اسم المستخدم [DomainName\] [= الوصول]

ملاحظات

  • المستخدم الذي يقوم بتشغيل هذا الأمر يجب أن يكون لديك حقوق المسؤول لإكمال بنجاح.
  • إذا تم حذف اسم الجهاز ، يتم افتراض الجهاز المحلي.
  • إذا تم حذف اسم المجال ، يتم البحث في الجهاز المحلي للحساب.
  • على الرغم من أن مثال بناء جملة تشير إلى اسم مستخدم، وهذا العمل لمجموعات المستخدمين جداً.
  • القيم التي يمكن أن يتخذها الوصول كالتالي:
       F : Full Control
    R : Generic Read
    W : Generic Write
    X : Generic eXecute
    L : Read controL
    Q : Query Service Configuration
    S : Query Service Status
    E : Enumerate Dependent Services
    C : Service Change Configuration
    T : Start Service
    O : Stop Service
    P : Pause/Continue Service
    I : Interrogate Service
    U : Service User-Defined Control Commands

  • في حالة حذف الوصول المفترض "F (التحكم الكامل)".
  • يدعم Subinacl وظائف مماثلة بالنسبة للملفات والمجلدات ومفاتيح التسجيل. راجع أدوات موارد Windows 2000 للحصول على مزيد من المعلومات.

أتمتة تغييرات متعددة

ب Subinacl، يوجد أي خيار يمكنك تحديد التي سيتم تعيين الوصول المطلوبة لكافة الخدمات على كمبيوتر معين. ومع ذلك، يوضح نموذج البرنامج النصي التالي طريقة واحدة يمكن توسيع "الطريقة الثالثة" لأتمتة المهمة:

   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
strComputer = Wscript.Arguments.Item(1)'computer netbios name
strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
strAccess = Wscript.Arguments.Item(3)'access granted, as per the list in the KB

'bind to the specified computer
set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

'create a shell object. Needed to call subinacl later
set objCMD = CreateObject("Wscript.Shell")

'retrieve a list of services
objTarget.filter = Array("Service")

For each Service in objTarget

'call subinacl to se the permissions
command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
objCMD.Run command, 0

'report the services that have been changed
Wscript.Echo "User rights changed for " & Service.name & " service"
next

ملاحظات

  • حفظ البرنامج النصي كملف.vbs، مثل "Services.vbs"، والذي يطلق عليه كما يلي:
       CSRIPT Services.vbs DomainName ComputerName UserName Access

  • التعليق أو إزالة السطر 'Wscript.Echo...' في حالة طلب لم ملاحظات.
  • هذا النموذج لا تدقيق الأخطاء؛ ولذلك، استخدامه بعناية.
  • ويذكر وثائق Windows 2000 Resource Kit أداة أخرى (svcacls.exe) الذي يقوم بإجراء معالجة حقوق إدارة خدمة نفس ك Subinacl. وهذا خطأ وثائق.
خصائص

رقم الموضوع: 325349 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات