Cómo conceder a los usuarios derechos para administrar servicios en Windows Server 2003

Para una versión de Microsoft Windows 2000 de este artículo, consulte 288129 .

EN ESTA TAREA

Resumen

En este artículo se describe cómo conceder a los usuarios la autoridad para administrar servicios del sistema en Windows Server 2003.


De forma predeterminada, sólo los miembros del grupo administradores pueden iniciar, detener, pausar, reanudar o reiniciar un servicio. Este artículo describe métodos que puede utilizar para conceder los derechos apropiados a los usuarios para administrar servicios.


Método 1: Usar la directiva de grupo

Puede utilizar Directiva de grupo para cambiar permisos en los servicios del sistema. Para obtener información adicional acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
324802 Cómo: configurar directivas de grupo para establecer la seguridad para servicios del sistema en Windows Server 2003

Método 2: Utilizar plantillas de seguridad

Para utilizar plantillas de seguridad para cambiar los permisos de servicios del sistema, cree una plantilla de seguridad. Para ello, siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  2. En el menú archivo , haga clic en Agregar o quitar complemento.
  3. Haga clic en Agregar, haga clic en configuración y análisis, haga clic en Agregar, haga clic en Cerrary, a continuación, haga clic en Aceptar.
  4. En el árbol de consola, haga clic en configuración y análisisy, a continuación, haga clic en Abrir base de datos.
  5. Especifique un nombre y una ubicación para la base de datos y, a continuación, haga clic en Abrir.
  6. En el cuadro de diálogo Importar plantilla , haga clic en la plantilla de seguridad que desea importar y, a continuación, haga clic en Abrir.
  7. En el árbol de consola, haga clic en configuración y análisisy, a continuación, haga clic en Analizar el equipo ahora.
  8. En el cuadro de diálogo Realizar análisis , acepte la ruta predeterminada del archivo de registro que se muestra en el cuadro ruta de archivo de registro de errores o especifique la ubicación que desee y, a continuación, haga clic en Aceptar.
  9. Una vez completado el análisis, configure los permisos de servicio de la siguiente manera:
    1. En el árbol de consola, haga clic en Servicios del sistema.
    2. En el panel derecho, haga doble clic en el servicio cuyos permisos desea cambiar.
    3. Haga clic para activar la casilla de verificación Definir esta directiva en la base de datos y, a continuación, haga clic en Modificar seguridad.
    4. Para configurar permisos para un usuario o grupo nuevo, haga clic en Agregar. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , escriba el nombre del usuario o grupo que desea establecer permisos para y, a continuación, haga clic en Aceptar.
    5. En la lista de permisos de usuario o grupo , configure los permisos que desee para el usuario o grupo. Tenga en cuenta que al agregar un nuevo usuario o grupo, la casilla de verificación Permitir situada junto al permiso de Inicio, detención y pausa está seleccionada por defecto. Esta opción permite al usuario o grupo iniciar, detener y pausar el servicio.
    6. Haga clic en Aceptar dos veces.
  10. Para aplicar la nueva configuración de seguridad en el equipo local, haga clic en
    Configuración de seguridad y análisisy, a continuación, haga clic en Configurar el equipo ahora.
Nota: también puede utilizar la herramienta de línea de comandos Secedit para configurar y analizar la seguridad del sistema. Para obtener más información acerca de Secedit, haga clic en Inicioy, a continuación, haga clic en Ejecutar. En el cuadro Abrir escriba cmd y, a continuación, haga clic en Aceptar. En el símbolo del sistema, escriba secedit /?, y, a continuación, presione ENTRAR. Tenga en cuenta que cuando utilice este método para aplicar la configuración, se vuelven a aplicar todas las configuraciones de la plantilla y éstas pueden suplantar a otros previamente configurado permisos de archivo, registro o servicio.


Método 3: Usar Subinacl.exe

El último método para asignar derechos para administrar servicios implica el uso de la utilidad Subinacl.exe del Kit de recursos de Windows 2000. La sintaxis para esto es la siguiente:

SUBINACL /servicio \\nombreDeEquipo\nombreDeServicio \\MachineName\ServiceName = nombreusuario [DomainName\] [= acceso]

Notas:

  • El usuario que ejecuta este comando debe tener derechos de administrador para poder completarlo correctamente.
  • Si se omite la propiedad MachineName , se supone el equipo local.
  • Si se omite el nombre de dominio , se busca la cuenta en el equipo local.
  • Aunque el ejemplo de sintaxis indica un nombre de usuario, esto funcionará para grupos de usuarios demasiado.
  • Los valores que puede tener acceso son:
       F : Full Control
    R : Generic Read
    W : Generic Write
    X : Generic eXecute
    L : Read controL
    Q : Query Service Configuration
    S : Query Service Status
    E : Enumerate Dependent Services
    C : Service Change Configuration
    T : Start Service
    O : Stop Service
    P : Pause/Continue Service
    I : Interrogate Service
    U : Service User-Defined Control Commands

  • Si se omite el acceso , se supone "F (Control total)".
  • Subinacl admite una funcionalidad similar en relación con archivos, carpetas y claves del registro. Consulte el Kit de recursos de Windows 2000 para obtener más información.

Automatizar varios cambios

En Subinacl, no hay ninguna opción que puede especificar para establecer el acceso requerido para todos los servicios en un equipo determinado. Sin embargo, la siguiente secuencia de comandos de ejemplo demuestra una forma de que el método 3 puede ampliarse para automatizar la tarea:

   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
strComputer = Wscript.Arguments.Item(1)'computer netbios name
strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
strAccess = Wscript.Arguments.Item(3)'access granted, as per the list in the KB

'bind to the specified computer
set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

'create a shell object. Needed to call subinacl later
set objCMD = CreateObject("Wscript.Shell")

'retrieve a list of services
objTarget.filter = Array("Service")

For each Service in objTarget

'call subinacl to se the permissions
command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
objCMD.Run command, 0

'report the services that have been changed
Wscript.Echo "User rights changed for " & Service.name & " service"
next

Notas:

  • Guarde el script como un archivo .vbs, como "Servicios.vbs" y llamarlo como sigue:
       CSRIPT Services.vbs DomainName ComputerName UserName Access

  • Comente o quite la línea 'Wscript.Echo...' Si no se requiere ningún comentario.
  • Este ejemplo no realiza ninguna comprobación de errores; Por consiguiente, utilícela con cuidado.
  • La documentación del Kit de recursos de Windows 2000 menciona otra utilidad (svcacls.exe) que realiza la misma manipulación de derechos de gestión servicio que Subinacl. Se trata de un error de documentación.
Propiedades

Id. de artículo: 325349 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios