SO WIRD'S GEMACHT: Erteilen von Benutzerberechtigungen zum Verwalten von Diensten in Windows 2000

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
288129 HOW TO: Grant Users Rights to Manage Services in Windows 2000

Zusammenfassung

In diesem Artikel werden verschiedene Verfahren beschrieben, mit denen Sie Benutzern die zum Verwalten von Diensten in Windows 2000 erforderlichen Berechtigungen erteilen. In der Windows 2000-Standardeinstellung können Dienste nur von Administratoren und Hauptbenutzern gestartet, beendet oder angehalten werden. In diesem Artikel werden Verfahren erläutert, mit denen Sie diese Berechtigungen auch anderen Benutzern oder Gruppen gewähren können.


Verfahren 1: Erteilen von Berechtigungen mit Hilfe der Gruppenrichtlinie

Die erforderlichen Berechtigungen können Benutzern durch Anwenden der Gruppenrichtlinie erteilt werden.
Weitere Informationen zu diesem Thema finden Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
256345 Configuring Group Policies to Set Security for System Services
Dieser Artikel enthält ausführliche Anweisungen. Es wird allerdings nicht ausdrücklich darauf hingewiesen, dass es keine gleichwertigen Einstellungen in den Richtlinien der lokalen Gruppe gibt.


Verfahren 2: Erteilen von Berechtigungen mit Hilfe von Sicherheitsvorlagen

Dieses Verfahren entspricht weitgehend Verfahren 1, die Berechtigungen für Systemdienste werden jedoch mit Hilfe von Sicherheitsvorlagen geändert. Führen Sie dazu die folgenden Schritte durch:
  1. Klicken Sie auf Start und auf Ausführen, und geben Sie dann Folgendes ein:
    mmc
    .
  2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Hinzufügen.
  4. Aktivieren Sie das Snap-In
    Sicherheitskonfiguration und -analyse
    , und klicken Sie dann auf Hinzufügen.
  5. Klicken Sie auf Schließen und dann auf OK.
  6. Klicken Sie in der MMC mit der rechten Maustaste auf das Element
    Sicherheitskonfiguration und -analyse
    , und klicken Sie dann auf Datenbank öffnen.
  7. Geben Sie einen Namen für die Datenbank ein, und wechseln Sie dann zum vorgesehenen Speicherort für die Datenbank.
  8. Wählen Sie nach der entsprechenden Aufforderung eine zu importierende Sicherheitsvorlage aus. Die Vorlage basicwk.inf enthält beispielsweise die Werte für die Standardeinstellungen auf einem Computer unter Windows 2000 Professional.
  9. Klicken Sie in der MMC mit der rechten Maustaste auf das Element
    Sicherheitskonfiguration und -analyse
    , und klicken Sie dann auf die Option
    Computer jetzt analysieren
    . Geben Sie auf die entsprechende Aufforderung hin einen Speicherort für die Protokolldatei an.
  10. Nach dem Abschluss der Analyse gehen Sie folgendermaßen vor, um die Berechtigungen für Dienste zu konfigurieren:
    1. Doppelklicken Sie in der MMC auf Systemdienste.
    2. Klicken Sie mit der rechten Maustaste auf den zu ändernden Dienst, und klicken Sie dann auf Sicherheit.
    3. Klicken Sie auf Sicherheit bearbeiten.
    4. Fügen Sie die benötigten Benutzerkonten hinzu, und konfigurieren Sie die Berechtigungen für jedes Konto. In der Standardeinstellung erhält der Benutzer die Berechtigungen zum Starten, Beenden und Anhalten.
  11. Um die neuen Einstellungen auf den lokalen Computer zu übernehmen, klicken Sie einfach mit der rechten Maustaste auf das Element
    Sicherheitskonfiguration und -analyse
    und klicken dann auf die Option System jetzt konfigurieren.

Mit dem Windows 2000-Befehlszeilenprogramm SECEDIT können Sie die bearbeiteten Einstellungen außerdem aus der MMC exportieren und auf mehrere Computer anwenden. Für weitere Informationen über die Verwendung von SECEDIT geben Sie Folgendes an der Eingabeaufforderung ein:

secedit /?
HINWEIS: Wenn Sie die Einstellungen auf diese Art anwenden, werden sämtliche Einstellungen in der Vorlage neu angewendet. Dabei können Berechtigungen überschrieben werden, die auf andere Art für Dateien, Dienste und die Registrierung eingerichtet wurden.


Verfahren 3: Erteilen von Berechtigungen mit "Subinacl.exe"

Beim letzten Verfahren, mit dem Sie Berechtigungen zum Verwalten von Diensten zuweisen können, wird das Dienstprogramm Subinacl.exe aus dem Windows 2000 Resource Kit verwendet. Die Syntax lautet:
SUBINACL /SERVICE \\Computername\Dienstname /GRANT=[Domänename\]Benutzername[=Zugriff]

Hinweise

  • Ein Benutzer, der diesen Befehl ausführen möchte, muss über Administratorberechtigungen verfügen.
  • Wenn kein Computername angegeben ist, wird der lokale Computer verwendet.
  • Wenn kein Domänenname angegeben ist, wird das Konto auf dem lokalen Computer gesucht.
  • Sie können einen Benutzernamen wie im Syntaxbeispiel oder eine Benutzergruppe angeben.
  • Mögliche Werte für Zugriff sind:

    F : Vollzugriff
    R : Lesen
    W : Schreiben
    X : Ausführen
    L : Lesesteuerung
    Q : Dienstkonfiguration abfragen
    S : Dienststatus abfragen
    E : Abhängige Dienste auflisten
    C : Dienstkonfiguration ändern
    T : Dienst starten
    O : Dienst stoppen
    P : Dienst anhalten/fortsetzen
    I : Dienst abfragen
    U : Benutzerdefinierte Steuerbefehle für Dienste
  • Wenn kein Zugriff angegeben ist, wird F (Vollzugriff) verwendet.
  • Subinacl unterstützt ähnliche Funktionen für Dateien, Ordner und Registrierungsschlüssel. Weitere Informationen finden Sie im Windows 2000 Resource Kit.

Automatisieren mehrerer Änderungen

Subinacl besitzt keine Option, mit der die gewünschte Zugriffart für alle Dienste auf einem Computer angegeben werden kann. Das folgende Beispielskript veranschaulicht jedoch, wie das oben beschriebene Verfahren für die automatische Durchführung erweitert werden kann:

strDomain = Wscript.Arguments.Item(0)'domain where computer account is held
strComputer = Wscript.Arguments.Item(1)'computer netbios name
strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
strAccess = Wscript.Arguments.Item(3)'access granted, as per the list in the KB

'bind to the specified computer
set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

'create a shell object. Needed to call subinacl later
set objCMD = CreateObject("Wscript.Shell")

'retrieve a list of service
objTarget.filter = Array("Service")

For each Service in objTarget

'call subinacl to se the permissions
command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
objCMD.Run command, 0

'report the services that have been changed
Wscript.Echo "Benutzerrechte für Dienst " & Service.name & " geändert"
next

Hinweise

  • Das Skript muss als VBS-Datei, z. B. Dienste.vbs, gespeichert und folgendermaßen aufgerufen werden:

    CSRIPT Dienste.vbs Domänenname Computername Benutzername Zugriff
  • Wenn keine Meldungen erforderlich sind, kommentieren Sie die Zeile Wscript.Echo... aus, oder entfernen Sie sie.
  • In diesem Beispiel wird keine Fehlerprüfung durchgeführt. Verwenden Sie den Code daher mit Vorsicht.
  • In der Windows 2000 Resource Kit-Dokumentation wird ein weiteres Dienstprogramm (svcacls.exe) erwähnt, mit dem die Berechtigungen für die Dienstverwaltung wie mit Subinacl bearbeitet werden können. Dies ist jedoch ein Fehler in der Dokumentation.

Informationsquellen

Weitere Informationen erhalten Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
269875 SVCACLS.EXE Is Not Included With The Windows 2000 Resource Kits


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 288129 – Letzte Überarbeitung: 19.08.2003 – Revision: 1

Feedback