JAK: Udzielanie użytkownikom praw do zarządzania usługami w systemie Windows 2000

Streszczenie

W tym artykule opisano kilka metod udzielania użytkownikom praw do zarządzania usługami w systemie Windows 2000. Domyślnie w systemie Windows 2000 tylko administratorzy i użytkownicy zaawansowani mogą uruchamiać, zatrzymywać lub wstrzymywać usługi. W tym artykule opisano techniki udostępniania tych praw innym użytkownikom i grupom.


Metoda 1: Udzielanie praw przy użyciu zasad grupy

Użytkownikom można udzielić praw, korzystając z zasad grupy.
Aby uzyskać więcej informacji, jak to zrobić, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

256345 Configuring Group Policies to Set Security for System Services
Ten artykuł zawiera szczegółowe instrukcje opisujące krok po kroku, co należy zrobić. W artykule nie zostało jednak wyraźnie stwierdzone, że w lokalnych zasadach grupy nie ma odpowiednich ustawień.


Metoda 2: Udzielanie użytkownikom praw przy użyciu szablonów zabezpieczeń

Metoda ta jest bardzo podobna do metody 1, ale do zmiany uprawnień usług systemowych wykorzystywane są szablony zabezpieczeń. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, a następnie wpisz polecenie
    MMC.
  2. W menu Konsola kliknij polecenie Dodaj/Usuń przystawkę.
  3. Kliknij przycisk Dodaj.
  4. Wybierz przystawkę
    Konfiguracja i analiza zabezpieczeń, a następnie kliknij przycisk
    Dodaj.
  5. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  6. W konsoli MMC prawym przyciskiem myszy kliknij element
    Konfiguracja i analiza zabezpieczeń, a następnie kliknij polecenie
    Otwórz bazę danych.
  7. Nadaj nazwę bazie danych, a następnie przejdź do miejsca, w którym chcesz ją zachować.
  8. Po pojawieniu się monitu wybierz szablon zabezpieczeń do zaimportowania. Na przykład plik „basicwk.inf” zawiera wartości ustawień standardowych odnalezionych na komputerze z systemem Windows 2000 Professional.
  9. W konsoli MMC prawym przyciskiem myszy kliknij element
    Konfiguracja i analiza zabezpieczeń, a następnie kliknij polecenie
    Analizuj komputer teraz. Wybierz lokalizację pliku dziennika po pojawieniu się monitu.
  10. Po ukończeniu analizy skonfiguruj uprawnienia usługi w następujący sposób:
    1. Kliknij dwukrotnie gałąź
      Usługi systemowe
      w konsoli MMC.
    2. Prawym przyciskiem myszy kliknij usługę, którą chcesz zmienić, a następnie kliknij polecenie
      Zabezpieczenia.
    3. Kliknij przycisk
      Edytuj zabezpieczenia.
    4. Dodaj konta użytkowników zgodnie z wymaganiami i skonfiguruj uprawnienia dla każdego konta. Domyślnie użytkownik otrzyma uprawnienia „Rozpocznij, zatrzymaj i wstrzymaj”.
  11. Aby zastosować nowe ustawienia do komputera lokalnego, kliknij po prostu prawym przyciskiem myszy element
    Konfiguracja i analiza zabezpieczeń, a następnie kliknij opcję
    Konfiguruj komputer teraz.

Można również wyeksportować zmodyfikowane ustawienia z konsoli MMC i zastosować je do wielu komputerów przy użyciu narzędzia wiersza polecenia SECEDIT, dostarczonego z systemem Windows 2000. Aby uzyskać więcej informacji dotyczących używania narzędzia SECEDIT, wpisz następujące polecenie w wierszu polecenia:

secedit /?
UWAGA: Zastosowanie ustawień w taki sposób spowoduje ponowne zastosowanie wszystkich ustawień w szablonie i może spowodować zastąpienie innych uprawnień plików, Rejestru lub usług ustawionych w inny sposób.


Metoda 3: Udzielanie praw przy użyciu pliku Subinacl.exe

Ostatnią z metod przydzielania praw do zarządzania usługami jest użycie narzędzia Subinacl.exe z zestawu Windows 2000 Resource Kit. Składnia jest następująca:
SUBINACL /SERVICE \\Nazwa_komputera\Nazwa_usługi /GRANT=[Nazwa_domeny\]Nazwa_użytkownika[=Dostęp]

Uwagi

  • Użytkownik wykonujący to polecenie musi mieć prawa administratora, aby zostało wykonane pomyślnie.
  • Jeżeli zostanie pominięty parametr „Nazwa_komputera”, zostanie przyjęte założenie, że używany jest komputer lokalny.
  • Jeżeli zostanie pominięty parametr „Nazwa_domeny”, w celu odnalezienie konta przeszukiwany jest komputer lokalny.
  • Mimo że przykładowa składnia wskazuje nazwę użytkownika, będzie działać również w przypadku grup użytkowników.
  • Parametr „Dostęp” może mieć następujące wartości:

    F: Pełna kontrola
    R: Odczyt rodzajowy
    W: Zapis rodzajowy
    X: Wykonanie rodzajowe
    L: Kontrola odczytu
    Q: Badanie konfiguracji usługi
    S: Badanie stanu usługi
    E: Wymienianie zależnych usług
    C: Konfiguracja zmiany usługi
    T: Uruchamianie usługi
    O: Zatrzymywanie usługi
    P: Wstrzymywanie/Kontynuacja usługi
    I: Pytanie usługi
    U: Polecenia kontroli usługi zdefiniowanej przez użytkownika
  • Jeżeli parametr „Dostęp” zostanie pominięty, zostanie zastosowana wartość „F” (Pełna kontrola).
  • Narzędzie Subinacl obsługuje podobne funkcje w stosunku do plików, folderów i kluczy Rejestru. Zapoznaj się z zestawem
    Windows 2000 Resource Kit, aby uzyskać więcej informacji.

Automatyzacja wielu zmian

Narzędzie Subinacl nie ma opcji, dzięki której można ustawić wymagany dostęp dla wszystkich usług na danym komputerze. Następujący przykładowy skrypt pokazuje jednak sposób na poszerzenie zakresu powyższej metody, tak aby zautomatyzować zadanie:

strDomain = Wscript.Arguments.Item(0)'domena, do której należy konto komputera
strComputer = Wscript.Arguments.Item(1)'nazwa netbios komputera
strSecPrinc = Wscript.Arguments.Item(2)'nazwa logowania użytkownika, taka jak: Nazwa_domeny\Nazwa_użytkownika
strAccess = Wscript.Arguments.Item(3)'przyznany dostęp, tak jak na liście w artykule KB

'powiązanie z określonym komputerem
set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

'utworzenie objektu powłoki. Potrzebne do późniejszego wywołania subinacl
set objCMD = CreateObject("Wscript.Shell")

'pobranie listy usług
objTarget.filter = Array("Service")

For each Service in objTarget

'wywołanie subinacl do ustawienia uprawnień
command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
objCMD.Run command, 0

'raport o zmianie usług
Wscript.Echo "User rights changed for " & Service.name & " service"
next

Uwagi

  • Skrypt należy zapisać jako plik .vbs, taki jak „Services.vbs” i nazwać go w następujący sposób:

    CSRIPT Services.vbs Nazwa_domeny Nazwa_komputera Nazwa_użytkownika Dostęp
  • Wiersz „Wscript.Echo ...” należy umieścić w znacznikach komentarza albo usunąć, jeżeli odpowiedź nie jest wymagana.
  • Ten przykład nie był sprawdzany pod kątem błędów, należy więc korzystać z niego ostrożnie.
  • W zestawie Windows 2000 Resource Kit wymieniono inne narzędzie (svcacls.exe), które manipuluje prawami do zarządzania usługami w taki sam sposób jak narzędzie Subinacl. Jest to błąd dokumentacji.
powrót do początku

Materiały referencyjne

Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

269875 SVCACLS.EXE Is Not Included With The Windows 2000 Resource Kits
powrót do początku
Właściwości

Identyfikator artykułu: 288129 — ostatni przegląd: 19.09.2003 — zmiana: 1

Opinia