Assegnazione dei diritti utente per la gestione dei servizi in Windows 2000

Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
In questo articolo vengono descritti vari metodi di assegnazione agli utenti di diritti di gestione dei servizi in Windows 2000. Per impostazione predefinita, in Windows 2000 solo gli amministratori o i membri del gruppo Power Users possono avviare, arrestare o sospendere i servizi. In questo articolo vengono descritte le tecniche con cui assegnare tali diritti agli altri utenti e gruppi.

Torna all'inizio

Metodo 1: Assegnazione di diritti mediante i Criteri di gruppo

È possibile assegnare tali diritti agli utenti applicando i Criteri di gruppo. Per ulteriori informazioni su questa operazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256345 Configurazione dei Criteri di gruppo per impostare la protezione dei servizi di sistema
Nell'articolo vengono fornite istruzioni dettagliate. Tuttavia non viene esplicitamente affermato che non vi sono impostazioni corrispondenti nei Criteri di gruppo locali.

Torna all'inizio

Metodo 2: Assegnazione di diritti mediante i modelli di protezione

Questo metodo è molto simile al metodo 1, ma utilizza i modelli di protezione per modificare le autorizzazioni per i servizi di sistema. A questo scopo, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui e digitare MMC.
  2. Scegliere Aggiungi/Rimuovi snap-in dal menu Console.
  3. Scegliere Aggiungi.
  4. Selezionare lo snap-in Analisi e configurazione di protezione, quindi scegliere Aggiungi.
  5. Scegliere Chiudi, quindi OK.
  6. In MMC fare clic con il pulsante destro del mouse su Analisi e configurazione di protezione, quindi scegliere Apri database.
  7. Assegnare un nome al database, quindi individuare la posizione in cui memorizzarlo.
  8. Quando richiesto, selezionare un modello di protezione per l'importazione. Ad esempio, basicwk.inf contiene i valori per le impostazioni standard di un computer Windows 2000 Professional.
  9. In MMC fare clic con il pulsante destro del mouse su Analisi e configurazione di protezione, quindi scegliere l'opzione Esegui analisi sistema. Scegliere una posizione per il file registro quando richiesto.
  10. Al termine dell'analisi configurare le autorizzazioni per i servizi nel modo seguente:
    1. Fare doppio clic sul ramo Servizi di sistema in MMC.
    2. Fare clic con il pulsante destro del mouse sul servizio da modificare, quindi scegliere Protezione.
    3. Scegliere Modifica protezione.
    4. Aggiungere gli account utente in base alle necessità, quindi configurare le autorizzazioni per ciascun account. Per impostazione predefinita, all'utente vengono accordate le autorizzazioni di avvio, arresto e pausa.
  11. Per applicare le nuove impostazioni al computer locale, fare clic con il pulsante destro del mouse su Analisi e configurazione di protezione, quindi scegliere l'opzione Configura il sistema ora.

È anche possibile esportare le impostazioni modificate da MMC e applicarle a più computer mediante lo strumento della riga di comando SECEDIT incluso in Windows 2000. Per ulteriori informazioni sull'utilizzo di SECEDIT, digitare quanto segue al prompt dei comandi:
secedit /?
NOTA: l'applicazione delle impostazioni in questo modo comporta la riapplicazione di tutte le impostazioni del modello e quindi la sovrascrittura delle altre autorizzazioni per file, Registro di sistema o servizi impostate in altra maniera.

Torna all'inizio

Metodo 3: Assegnazione di diritti mediante Subinacl.exe

L'ultimo metodo per l'assegnazione di diritti per la gestione dei servizi consiste nell'utilizzo dello strumento Subinacl.exe del Resource Kit di Windows 2000. La sintassi è la seguente:
SUBINACL /SERVICE \\NomeComputer\NomeServizio /GRANT=[NomeDominio\]NomeUtente[=Accesso]

Note

  • L'utente che esegue questo comando deve avere diritti di amministratore per poterlo eseguire correttamente.
  • Se "NomeComputer" viene omesso, viene utilizzato il computer locale.
  • Se "NomeDominio" viene omesso, l'account viene cercato nel computer locale.
  • Sebbene l'esempio della sintassi richieda un nome utente, il comando funziona anche per gruppi di utenti.
  • I valori che 'Accesso' può assumere sono:
       F: Controllo completo   R: Lettura generale   W: Scrittura generale   X: Esecuzione generale   L: Controllo lettura   Q: Configurazione del servizio query   S: Stato servizio query   E: Enumerazione servizi dipendenti   C: Configurazione modifiche servizi   T: Avvio servizi   O: Arresto servizi   P: Pausa/Continuazione servizi   I: Interrogazione servizi    U: Comandi di controllo servizi definiti dall'utente					
  • Se 'Accesso' viene omesso, viene utilizzato il valore 'F (Controllo completo)'.
  • Subinacl supporta una funzionalità simile in relazione a file, cartelle e chiavi del Registro di sistema. Per ulteriori informazioni, fare riferimento al Resource Kit di Windows 2000.
  • Il nome del servizio deve essere nel formato breve utilizzato per la relativa chiave nel Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>
    Se il nome del servizio contiene spazi, l'intero parametro deve essere racchiuso tra virgolette. Ad esempio:
    "\\NomeComputer\Nome Servizio Con Spazi"

Automazione di più modifiche

In Subinacl non è possibile specificare alcuna opzione che imposti l'accesso necessario per tutti i servizi in un determinato computer. Tuttavia il seguente script di esempio mostra un modo in cui è possibile estendere il metodo precedente per automatizzare l'attività:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held   strComputer = Wscript.Arguments.Item(1)'computer netbios name   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB    'bind to the specified computer   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")   'create a shell object.  Needed to call subinacl later   set objCMD = CreateObject("Wscript.Shell")   'retrieve a list of services   objTarget.filter = Array("Service")   For each Service in objTarget    'call subinacl to se the permissions   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess   objCMD.Run command, 0   'report the services that have been changed   Wscript.Echo "User rights changed for " & Service.name & " service"   next				

Note

  • Lo script deve essere salvato come file con estensione VBS, ad esempio "Services.vbs", e denominato nel modo seguente:
       CSCRIPT Services.vbs NomeDominio NomeComputer NomeUtente Accesso					
  • Disabilitare o rimuovere la riga 'Wscript.Echo ...' se non è necessario alcun feedback.
  • Questo esempio non esegue il controllo degli errori pertanto deve essere utilizzato con attenzione.
  • La documentazione del Resource Kit di Windows 2000 menziona un altro strumento (svcacls.exe) che esegue la stessa manipolazione dei diritti di gestione dei servizi eseguita da Subinacl. Si tratta di un errore della documentazione.
Torna all'inizio
Riferimenti
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
269875 SVCACLS.EXE non è incluso nei Resource Kit di Windows 2000
Torna all'inizio
Proprietà

ID articolo: 288129 - Ultima revisione: 12/06/2015 00:24:33 - Revisione: 4.4

Microsoft Windows 2000 Service Pack 1, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Service Pack 1

  • kbnosurvey kbarchive kbhowtomaster kbenv KB288129
Feedback