Dodjela autorskih prava korisnicima za upravljanje servisima u sustavu Windows Server 2003


Sažetak


U ovom se članku opisuje kako korisniku dodijeliti ovlaštenje za upravljanje sistemskim servisima u sustavu Windows Server 2003.By default, samo članovi grupe Administratori mogu pokrenuti, zaustaviti, pauzirati, nastaviti ili ponovno pokrenuti servis. U ovom se članku opisuju načini koje možete koristiti za odobravanje odgovarajućih prava korisnicima za upravljanje servisima.

Prvi način: korištenje pravilnika grupe

Pomoću pravilnika grupe možete promijeniti dozvole za sistemske servise. Dodatne informacije o tome kako to učiniti potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:
324802 Kako: konfigurirati pravila grupe radi postavljanja sigurnosti za sistemske servise u sustavu Windows Server 2003

Drugi način: korištenje sigurnosnih predložaka

Da biste koristili sigurnosne predloške za promjenu dozvola za sistemske servise, stvorite sigurnosni predložak. Da biste to učinili, slijedite ove korake:
  1. Kliknite Start, zatim Pokreni, u okvir Otvori upišite MMC , a zatim kliknite u redu.
  2. Na izborniku datoteka kliknite Dodaj/ukloni dodatak.
  3. Kliknite Dodaj, zatim Konfiguracija sigurnosti i analiza, zatim Dodaj, zatim Zatvori, a potom u redu.
  4. U stablu konzole desnom tipkom miša kliknite sigurnosnu konfiguraciju i analizu, a zatim kliknite Otvori bazu podataka.
  5. Navedite naziv i mjesto baze podataka, a zatim kliknite Otvori.
  6. U dijaloškom okviru Uvoz predloška koji će se prikazati kliknite sigurnosni predložak koji želite uvesti, a zatim kliknite Otvori.
  7. U stablu konzole desnom tipkom miša kliknite sigurnosnu konfiguraciju i analizu, a zatim kliknite Analiziraj računalo odmah.
  8. U dijaloškom okviru izvršavanje analize koji će se prikazati prihvatite zadani put za datoteku zapisnika koja se prikazuje u okviru put datoteke zapisnika pogrešaka ili navedite željeno mjesto, a zatim kliknite u redu.
  9. Nakon dovršetka analize konfigurirajte dozvole za servis na sljedeći način:
    1. U stablu konzole kliknite sistemske servise.
    2. U desnom oknu dvokliknite servis čije dozvole želite promijeniti.
    3. Kliknite da biste potvrdili okvir Definiraj ovo pravilo u bazi podataka , a zatim kliknite Uređivanje sigurnosti.
    4. Da biste konfigurirali dozvole za novog korisnika ili grupu, kliknite Dodaj. U dijaloškom okviru Odabir korisnika, računala ili grupa upišite naziv korisnika ili grupe za koje želite postaviti dozvole, a zatim kliknite u redu.
    5. Na popisu dozvole za korisnike ili grupu konfigurirajte željene dozvole za korisnika ili grupu. Imajte na tome da kada dodate novog korisnika ili grupu, potvrdite okvir Dopusti pokraj postavke Start, zaustavi i Pauziraj . Ta postavka omogućuje korisniku ili grupi pokretanje, zaustavljanje i pauziranje servisa.
    6. Dva puta kliknite u redu .
  10. Da biste na lokalno računalo primijenili nove sigurnosne postavke, desnom tipkom miša kliknite sigurnosnu konfiguraciju i analizu, a zatim kliknite Konfiguriraj računalo odmah.
Opaska: možete koristiti i alat za naredbe za secedit da biste konfigurirali i analizirala sigurnost sustava. Dodatne informacije o Seceditu potražite u odjeljku Start, a zatim kliknite Pokreni. U okvir Otvori upišite cmd , a zatim kliknite u redu. U naredbeni upit upišite secedit/?, a zatim pritisnite ENTER. Imajte na tome da kada koristite ovaj postupak za primjenu postavki, ponovno se primjenjuju sve postavke u predlošku, a to može nadjačati druge prethodno konfigurirane datoteke, registarske ili servisne dozvole.

Treći način: korištenje subinacl. exe

Konačna metoda za dodjeljivanje prava za upravljanje servisima obuhvaća korištenje komunalnog dodatka subinacl. exe iz kompleta resursa za Windows 2000. Sintaksa je sljedeća:
SUBINACL/SERVICE \\MachineName\ServiceName/GRANT = [Domeninaziv \] UserName [= Access]

Napomene

  • Korisnik koji pokreće ovu naredbu mora uspješno dovršiti administratorska prava.
  • Ako je MachineName izostavljen, pretpostavlja se da je lokalni stroj.
  • Ako je domena izostavljena, lokalni se stroj pretražuje za račun.
  • Iako primjer sintakse označava korisničko ime, to će funkcionirati i za grupe korisnika.
  • Vrijednosti koje Access može poduzeti su sljedeće:
       F : Full Control   R : Generic Read   W : Generic Write   X : Generic eXecute   L : Read controL   Q : Query Service Configuration   S : Query Service Status   E : Enumerate Dependent Services   C : Service Change Configuration   T : Start Service   O : Stop Service   P : Pause/Continue Service   I : Interrogate Service    U : Service User-Defined Control Commands 
  • Ako se Access izostavi, pretpostavlja se "F (potpuna kontrola)".
  • Subinacl podržava sličnu funkcionalnost u odnosu na datoteke, mape i ključeve registra. Dodatne informacije potražite u paketu resursa za Windows 2000 .

Automatizacija većeg broja promjena

Uz subinacl ne postoji mogućnost koju možete navesti da će postaviti obavezan pristup za sve servise na određenom računalu. No Sljedeća ogledna skripta prikazuje jedan od načina na koji se treći način može produžiti radi automatizacije zadatka:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held   strComputer = Wscript.Arguments.Item(1)'computer netbios name   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB    'bind to the specified computer   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")   'create a shell object.  Needed to call subinacl later   set objCMD = CreateObject("Wscript.Shell")   'retrieve a list of services   objTarget.filter = Array("Service")   For each Service in objTarget    'call subinacl to se the permissions   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess   objCMD.Run command, 0   'report the services that have been changed   Wscript.Echo "User rights changed for " & Service.name & " service"   next 

Napomene

  • Spremite skriptu kao. vbs datoteku, kao što je "Services. vbs" i pozovite je na sljedeći način:
       CSRIPT Services.vbs DomainName ComputerName UserName Access 
  • Komentirajte ili uklonite crtu ' wscript. Echo... ' Ako nije potrebna nikakva povratna informacija.
  • U ovom se uzorku ne pregledava pogreška; Stoga ga pažljivo koristite.
  • Dokumentacija kompleta resursa za Windows 2000 spominje još jedan uslužni program (svcacls. exe) koji obavlja istu manipulaciju pravima upravljanja servisom kao subinacl. Došlo je do pogreške u dokumentaciji.