SO WIRD'S GEMACHT: Erteilen von Benutzerberechtigungen zum Verwalten von Diensten in Windows 2000

Dieser Artikel wurde zuvor veröffentlicht unter D288129
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
288129 HOW TO: Grant Users Rights to Manage Services in Windows 2000
Zusammenfassung
In diesem Artikel werden verschiedene Verfahren beschrieben, mit denen Sie Benutzern die zum Verwalten von Diensten in Windows 2000 erforderlichen Berechtigungen erteilen. In der Windows 2000-Standardeinstellung können Dienste nur von Administratoren und Hauptbenutzern gestartet, beendet oder angehalten werden. In diesem Artikel werden Verfahren erläutert, mit denen Sie diese Berechtigungen auch anderen Benutzern oder Gruppen gewähren können.

Zurück zum Anfang

Verfahren 1: Erteilen von Berechtigungen mit Hilfe der Gruppenrichtlinie

Die erforderlichen Berechtigungen können Benutzern durch Anwenden der Gruppenrichtlinie erteilt werden.Weitere Informationen zu diesem Thema finden Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
256345 Configuring Group Policies to Set Security for System Services
Dieser Artikel enthält ausführliche Anweisungen. Es wird allerdings nicht ausdrücklich darauf hingewiesen, dass es keine gleichwertigen Einstellungen in den Richtlinien der lokalen Gruppe gibt.

Zurück zum Anfang

Verfahren 2: Erteilen von Berechtigungen mit Hilfe von Sicherheitsvorlagen

Dieses Verfahren entspricht weitgehend Verfahren 1, die Berechtigungen für Systemdienste werden jedoch mit Hilfe von Sicherheitsvorlagen geändert. Führen Sie dazu die folgenden Schritte durch:
  1. Klicken Sie auf Start und auf Ausführen, und geben Sie dann Folgendes ein:mmc.
  2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Hinzufügen.
  4. Aktivieren Sie das Snap-InSicherheitskonfiguration und -analyse, und klicken Sie dann auf Hinzufügen.
  5. Klicken Sie auf Schließen und dann auf OK.
  6. Klicken Sie in der MMC mit der rechten Maustaste auf das ElementSicherheitskonfiguration und -analyse, und klicken Sie dann auf Datenbank öffnen.
  7. Geben Sie einen Namen für die Datenbank ein, und wechseln Sie dann zum vorgesehenen Speicherort für die Datenbank.
  8. Wählen Sie nach der entsprechenden Aufforderung eine zu importierende Sicherheitsvorlage aus. Die Vorlage basicwk.inf enthält beispielsweise die Werte für die Standardeinstellungen auf einem Computer unter Windows 2000 Professional.
  9. Klicken Sie in der MMC mit der rechten Maustaste auf das ElementSicherheitskonfiguration und -analyse, und klicken Sie dann auf die OptionComputer jetzt analysieren. Geben Sie auf die entsprechende Aufforderung hin einen Speicherort für die Protokolldatei an.
  10. Nach dem Abschluss der Analyse gehen Sie folgendermaßen vor, um die Berechtigungen für Dienste zu konfigurieren:
    1. Doppelklicken Sie in der MMC auf Systemdienste.
    2. Klicken Sie mit der rechten Maustaste auf den zu ändernden Dienst, und klicken Sie dann auf Sicherheit.
    3. Klicken Sie auf Sicherheit bearbeiten.
    4. Fügen Sie die benötigten Benutzerkonten hinzu, und konfigurieren Sie die Berechtigungen für jedes Konto. In der Standardeinstellung erhält der Benutzer die Berechtigungen zum Starten, Beenden und Anhalten.
  11. Um die neuen Einstellungen auf den lokalen Computer zu übernehmen, klicken Sie einfach mit der rechten Maustaste auf das ElementSicherheitskonfiguration und -analyseund klicken dann auf die Option System jetzt konfigurieren.

Mit dem Windows 2000-Befehlszeilenprogramm SECEDIT können Sie die bearbeiteten Einstellungen außerdem aus der MMC exportieren und auf mehrere Computer anwenden. Für weitere Informationen über die Verwendung von SECEDIT geben Sie Folgendes an der Eingabeaufforderung ein:
secedit /?
HINWEIS: Wenn Sie die Einstellungen auf diese Art anwenden, werden sämtliche Einstellungen in der Vorlage neu angewendet. Dabei können Berechtigungen überschrieben werden, die auf andere Art für Dateien, Dienste und die Registrierung eingerichtet wurden.

Zurück zum Anfang

Verfahren 3: Erteilen von Berechtigungen mit "Subinacl.exe"

Beim letzten Verfahren, mit dem Sie Berechtigungen zum Verwalten von Diensten zuweisen können, wird das Dienstprogramm Subinacl.exe aus dem Windows 2000 Resource Kit verwendet. Die Syntax lautet:
SUBINACL /SERVICE \\Computername\Dienstname /GRANT=[Domänename\]Benutzername[=Zugriff]

Hinweise

  • Ein Benutzer, der diesen Befehl ausführen möchte, muss über Administratorberechtigungen verfügen.
  • Wenn kein Computername angegeben ist, wird der lokale Computer verwendet.
  • Wenn kein Domänenname angegeben ist, wird das Konto auf dem lokalen Computer gesucht.
  • Sie können einen Benutzernamen wie im Syntaxbeispiel oder eine Benutzergruppe angeben.
  • Mögliche Werte für Zugriff sind:
       F : Vollzugriff   R : Lesen   W : Schreiben   X : Ausführen   L : Lesesteuerung   Q : Dienstkonfiguration abfragen   S : Dienststatus abfragen   E : Abhängige Dienste auflisten   C : Dienstkonfiguration ändern   T : Dienst starten   O : Dienst stoppen   P : Dienst anhalten/fortsetzen   I : Dienst abfragen   U : Benutzerdefinierte Steuerbefehle für Dienste
  • Wenn kein Zugriff angegeben ist, wird F (Vollzugriff) verwendet.
  • Subinacl unterstützt ähnliche Funktionen für Dateien, Ordner und Registrierungsschlüssel. Weitere Informationen finden Sie im Windows 2000 Resource Kit.

Automatisieren mehrerer Änderungen

Subinacl besitzt keine Option, mit der die gewünschte Zugriffart für alle Dienste auf einem Computer angegeben werden kann. Das folgende Beispielskript veranschaulicht jedoch, wie das oben beschriebene Verfahren für die automatische Durchführung erweitert werden kann:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held   strComputer = Wscript.Arguments.Item(1)'computer netbios name   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB    'bind to the specified computer   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")   'create a shell object. Needed to call subinacl later   set objCMD = CreateObject("Wscript.Shell")   'retrieve a list of service   objTarget.filter = Array("Service")   For each Service in objTarget    'call subinacl to se the permissions   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess   objCMD.Run command, 0   'report the services that have been changed   Wscript.Echo "Benutzerrechte für Dienst " & Service.name & " geändert"   next

Hinweise

  • Das Skript muss als VBS-Datei, z. B. Dienste.vbs, gespeichert und folgendermaßen aufgerufen werden:
       CSRIPT Dienste.vbs Domänenname Computername Benutzername Zugriff
  • Wenn keine Meldungen erforderlich sind, kommentieren Sie die Zeile Wscript.Echo... aus, oder entfernen Sie sie.
  • In diesem Beispiel wird keine Fehlerprüfung durchgeführt. Verwenden Sie den Code daher mit Vorsicht.
  • In der Windows 2000 Resource Kit-Dokumentation wird ein weiteres Dienstprogramm (svcacls.exe) erwähnt, mit dem die Berechtigungen für die Dienstverwaltung wie mit Subinacl bearbeitet werden können. Dies ist jedoch ein Fehler in der Dokumentation.
Zurück zum Anfang
Verweise
Weitere Informationen erhalten Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
269875 SVCACLS.EXE Is Not Included With The Windows 2000 Resource Kits
Zurück zum Anfang

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 288129 – Letzte Überarbeitung: 12/06/2015 00:24:29 – Revision: 2.1

Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Service Pack 1, Microsoft Windows 2000 Server, Microsoft Windows 2000 Service Pack 1

  • kbnosurvey kbarchive kbhowto kbhowtomaster kbtool kbenv KB288129
Feedback