Jak uživatelům udělit práva pro správu služby v systému Windows Server 2003

Souhrn

Tento článek popisuje, jak uživatelům udělit oprávnění ke správě systémových služeb v systému Windows Server 2003.


Standardně pouze členové skupiny Administrators můžete spustit, zastavit, pozastavit, obnovit nebo restartování služby. Tento článek popisuje metody, které můžete udělit uživatelům příslušná práva ke správě služeb.


Metoda 1: Použití Zásady skupiny

Chcete-li změnit oprávnění u systémových služeb, můžete použít Zásady skupiny. Další informace o tom, jak to provést, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
324802 jak: Konfigurace zásady skupiny nastavení zabezpečení systémových služeb v systému Windows Server 2003

Metoda 2: Použití šablon zabezpečení

Chcete-li změnit oprávnění systémových služeb pomocí šablony zabezpečení, vytvořte šablonu zabezpečení. Chcete-li to provést, postupujte takto:

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz mmc a potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. Klepněte na tlačítko Přidat, klepněte na položku Konfigurace a analýza zabezpečení, klepněte na tlačítko Přidat, klepněte na tlačítko Zavříta potom klepněte na tlačítko OK.
  4. Ve stromu konzoly klepněte pravým tlačítkem myši Konfigurace a analýza zabezpečenía potom klepněte na tlačítko Otevřít databázi.
  5. Zadejte název a umístění databáze a klepněte na tlačítko Otevřít.
  6. V dialogovém okně Importovat šablonu klepněte na šablonu zabezpečení, kterou chcete importovat a klepněte na tlačítko Otevřít.
  7. Ve stromu konzoly klepněte pravým tlačítkem myši Konfigurace a analýza zabezpečenía poté vyberte příkaz Analyzovat počítač.
  8. V dialogovém okně Provést analýzu přijměte výchozí cestu k souboru protokolu, který je zobrazen v poli cesta k souboru protokolu chyb nebo zadejte umístění, které chcete a klepněte na tlačítko OK.
  9. Po dokončení analýzy nakonfigurujte oprávnění služby následujícím způsobem:
    1. Ve stromu konzoly klepněte na tlačítko Systémové služby.
    2. V pravém podokně poklepejte na službu, jejíž oprávnění chcete změnit.
    3. Klepnutím zaškrtněte políčko definovat v databázi tyto zásady a potom klepněte na tlačítko Upravit zabezpečení.
    4. Chcete-li konfigurovat oprávnění pro nového uživatele nebo skupinu, klepněte na tlačítko Přidat. V dialogovém okně Vyberte uživatele, počítače nebo skupiny zadejte jméno uživatele nebo skupiny, kterou chcete nastavit oprávnění pro a klepněte na tlačítko OK.
    5. V seznamu oprávnění pro uživatele nebo skupinu nastavit oprávnění, která chcete použít pro uživatele nebo skupinu. Všimněte si, že při přidání nového uživatele nebo skupinu zaškrtávací políčko Povolit u oprávnění Spustit, zastavit a pozastavit je vybrána ve výchozím nastavení. Toto nastavení umožňuje uživateli nebo skupině spuštění, zastavení a pozastavení služby.
    6. Klepněte dvakrát na tlačítko OK .
  10. Chcete-li použít nové nastavení zabezpečení místního počítače, klepněte pravým tlačítkem myši
    Konfigurace a analýza zabezpečenía potom klepněte na příkaz Zkonfigurovat počítač.
Poznámka: můžete také pomocí nástroje příkazového řádku Secedit konfigurace a analýza zabezpečení systému. Další informace o programu Secedit klepněte na tlačítko Starta potom klepněte na příkaz Spustit. Do pole Otevřít zadejte příkaz cmd a klepněte na tlačítko OK. Na příkazovém řádku zadejte secedit /?, a stiskněte klávesu ENTER. Poznámka: Pokud použijete tuto metodu, chcete-li použít nastavení, všechna nastavení v šabloně budou znovu a to mohou přepsat ostatní dříve konfigurované souboru, registru nebo oprávnění služby.


Metoda 3: Použití nástroje Subinacl.exe

Závěrečná metoda pro přidělení oprávnění ke správě služby zahrnuje použití nástroje Subinacl.exe ze sady Windows 2000 Resource Kit. Tato syntaxe je následující:

SUBINACL/Service \\MachineName\ServiceName/grant = uživatelské_jméno [DomainName\] [= přístup]

Poznámky

  • Uživatel, který spustí tento příkaz, musíte mít práva správce pro jeho úspěšné dokončení.
  • Název_počítače vynechán, předpokládá se místní počítač.
  • Název_domény vynechán, je v místním počítači vyhledány na účet.
  • Ačkoli v příkladu syntaxe označuje uživatelské jméno, to bude fungovat u skupin uživatelů příliš.
  • Hodnoty, které mohou využít přístupu jsou následující:
       F : Full Control
    R : Generic Read
    W : Generic Write
    X : Generic eXecute
    L : Read controL
    Q : Query Service Configuration
    S : Query Service Status
    E : Enumerate Dependent Services
    C : Service Change Configuration
    T : Start Service
    O : Stop Service
    P : Pause/Continue Service
    I : Interrogate Service
    U : Service User-Defined Control Commands

  • Přístup je vynechán, předpokládá se "F (Úplné řízení)".
  • SubInACL podporuje podobné funkce souborů, složek a klíčů registru. V příručce Windows 2000 Resource Kit Další informace.

Automatizace více změn

S Subinacl neexistuje možnost, můžete určit, který nastaví požadovaný přístup pro všechny služby v určitém počítači. Následující ukázkový skript však ukazuje jeden způsob, jakým metoda 3 lze rozšířit automatizovat úlohy:

   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
strComputer = Wscript.Arguments.Item(1)'computer netbios name
strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
strAccess = Wscript.Arguments.Item(3)'access granted, as per the list in the KB

'bind to the specified computer
set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

'create a shell object. Needed to call subinacl later
set objCMD = CreateObject("Wscript.Shell")

'retrieve a list of services
objTarget.filter = Array("Service")

For each Service in objTarget

'call subinacl to se the permissions
command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
objCMD.Run command, 0

'report the services that have been changed
Wscript.Echo "User rights changed for " & Service.name & " service"
next

Poznámky

  • Skript uložte jako soubor VBS, například "Services.vbs" a ji volat takto:
       CSRIPT Services.vbs DomainName ComputerName UserName Access

  • Poznámky, nebo odeberte řádek Wscript.Echo..., pokud je požadována zpětná vazba.
  • Tento vzorek neobsahuje žádnou kontrolu chyb; Proto používejte opatrně.
  • Dokumentace k sadě Windows 2000 Resource Kit uvádí jiný nástroj (svcacls.exe), která provádí manipulace práva správy služby stejné jako Subinacl. Toto je chyba dokumentace.
Vlastnosti

ID článku: 325349 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor