Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

JAK: Udzielanie użytkownikom praw do zarządzania usługami w systemie Windows 2000

Ten artykuł został opublikowany wcześniej pod numerem PL288129
Streszczenie
W tym artykule opisano kilka metod udzielania użytkownikom praw do zarządzania usługami w systemie Windows 2000.Domyślnie w systemie Windows 2000 tylko administratorzy i użytkownicy zaawansowani mogą uruchamiać, zatrzymywać lub wstrzymywać usługi. W tym artykule opisano techniki udostępniania tych praw innym użytkownikom i grupom.

Powrót do początku

Metoda 1: Udzielanie praw przy użyciu zasad grupy

Użytkownikom można udzielić praw, korzystając z zasad grupy.Aby uzyskać więcej informacji, jak to zrobić, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256345 Configuring Group Policies to Set Security for System Services
Ten artykuł zawiera szczegółowe instrukcje opisujące krok po kroku, co należy zrobić. W artykule nie zostało jednak wyraźnie stwierdzone, że w lokalnych zasadach grupy nie ma odpowiednich ustawień.

Powrót do początku

Metoda 2: Udzielanie użytkownikom praw przy użyciu szablonów zabezpieczeń

Metoda ta jest bardzo podobna do metody 1, ale do zmiany uprawnień usług systemowych wykorzystywane są szablony zabezpieczeń. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, a następnie wpisz polecenieMMC.
  2. W menu Konsola kliknij polecenie Dodaj/Usuń przystawkę.
  3. Kliknij przycisk Dodaj.
  4. Wybierz przystawkęKonfiguracja i analiza zabezpieczeń, a następnie kliknij przyciskDodaj.
  5. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  6. W konsoli MMC prawym przyciskiem myszy kliknij elementKonfiguracja i analiza zabezpieczeń, a następnie kliknij polecenieOtwórz bazę danych.
  7. Nadaj nazwę bazie danych, a następnie przejdź do miejsca, w którym chcesz ją zachować.
  8. Po pojawieniu się monitu wybierz szablon zabezpieczeń do zaimportowania. Na przykład plik „basicwk.inf” zawiera wartości ustawień standardowych odnalezionych na komputerze z systemem Windows 2000 Professional.
  9. W konsoli MMC prawym przyciskiem myszy kliknij elementKonfiguracja i analiza zabezpieczeń, a następnie kliknij polecenieAnalizuj komputer teraz. Wybierz lokalizację pliku dziennika po pojawieniu się monitu.
  10. Po ukończeniu analizy skonfiguruj uprawnienia usługi w następujący sposób:
    1. Kliknij dwukrotnie gałąźUsługi systemowew konsoli MMC.
    2. Prawym przyciskiem myszy kliknij usługę, którą chcesz zmienić, a następnie kliknij polecenieZabezpieczenia.
    3. Kliknij przyciskEdytuj zabezpieczenia.
    4. Dodaj konta użytkowników zgodnie z wymaganiami i skonfiguruj uprawnienia dla każdego konta. Domyślnie użytkownik otrzyma uprawnienia „Rozpocznij, zatrzymaj i wstrzymaj”.
  11. Aby zastosować nowe ustawienia do komputera lokalnego, kliknij po prostu prawym przyciskiem myszy elementKonfiguracja i analiza zabezpieczeń, a następnie kliknij opcjęKonfiguruj komputer teraz.

Można również wyeksportować zmodyfikowane ustawienia z konsoli MMC i zastosować je do wielu komputerów przy użyciu narzędzia wiersza polecenia SECEDIT, dostarczonego z systemem Windows 2000. Aby uzyskać więcej informacji dotyczących używania narzędzia SECEDIT, wpisz następujące polecenie w wierszu polecenia:
secedit /?
UWAGA: Zastosowanie ustawień w taki sposób spowoduje ponowne zastosowanie wszystkich ustawień w szablonie i może spowodować zastąpienie innych uprawnień plików, Rejestru lub usług ustawionych w inny sposób.

Powrót do początku

Metoda 3: Udzielanie praw przy użyciu pliku Subinacl.exe

Ostatnią z metod przydzielania praw do zarządzania usługami jest użycie narzędzia Subinacl.exe z zestawu Windows 2000 Resource Kit. Składnia jest następująca:
SUBINACL /SERVICE \\Nazwa_komputera\Nazwa_usługi /GRANT=[Nazwa_domeny\]Nazwa_użytkownika[=Dostęp]

Uwagi

  • Użytkownik wykonujący to polecenie musi mieć prawa administratora, aby zostało wykonane pomyślnie.
  • Jeżeli zostanie pominięty parametr „Nazwa_komputera”, zostanie przyjęte założenie, że używany jest komputer lokalny.
  • Jeżeli zostanie pominięty parametr „Nazwa_domeny”, w celu odnalezienie konta przeszukiwany jest komputer lokalny.
  • Mimo że przykładowa składnia wskazuje nazwę użytkownika, będzie działać również w przypadku grup użytkowników.
  • Parametr „Dostęp” może mieć następujące wartości:
       F: Pełna kontrola   R: Odczyt rodzajowy   W: Zapis rodzajowy   X: Wykonanie rodzajowe   L: Kontrola odczytu   Q: Badanie konfiguracji usługi   S: Badanie stanu usługi   E: Wymienianie zależnych usług   C: Konfiguracja zmiany usługi   T: Uruchamianie usługi   O: Zatrzymywanie usługi   P: Wstrzymywanie/Kontynuacja usługi   I: Pytanie usługi    U: Polecenia kontroli usługi zdefiniowanej przez użytkownika
  • Jeżeli parametr „Dostęp” zostanie pominięty, zostanie zastosowana wartość „F” (Pełna kontrola).
  • Narzędzie Subinacl obsługuje podobne funkcje w stosunku do plików, folderów i kluczy Rejestru. Zapoznaj się z zestawemWindows 2000 Resource Kit,aby uzyskać więcej informacji.

Automatyzacja wielu zmian

Narzędzie Subinacl nie ma opcji, dzięki której można ustawić wymagany dostęp dla wszystkich usług na danym komputerze. Następujący przykładowy skrypt pokazuje jednak sposób na poszerzenie zakresu powyższej metody, tak aby zautomatyzować zadanie:
   strDomain   = Wscript.Arguments.Item(0)'domena, do której należy konto komputera   strComputer = Wscript.Arguments.Item(1)'nazwa netbios komputera   strSecPrinc = Wscript.Arguments.Item(2)'nazwa logowania użytkownika, taka jak: Nazwa_domeny\Nazwa_użytkownika   strAccess   = Wscript.Arguments.Item(3)'przyznany dostęp, tak jak na liście w artykule KB    'powiązanie z określonym komputerem   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")   'utworzenie objektu powłoki. Potrzebne do późniejszego wywołania subinacl   set objCMD = CreateObject("Wscript.Shell")   'pobranie listy usług   objTarget.filter = Array("Service")   For each Service in objTarget    'wywołanie subinacl do ustawienia uprawnień   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess   objCMD.Run command, 0   'raport o zmianie usług   Wscript.Echo "User rights changed for " & Service.name & " service"   next

Uwagi

  • Skrypt należy zapisać jako plik .vbs, taki jak „Services.vbs” i nazwać go w następujący sposób:
       CSRIPT Services.vbs Nazwa_domeny Nazwa_komputera Nazwa_użytkownika Dostęp
  • Wiersz „Wscript.Echo ...” należy umieścić w znacznikach komentarza albo usunąć, jeżeli odpowiedź nie jest wymagana.
  • Ten przykład nie był sprawdzany pod kątem błędów, należy więc korzystać z niego ostrożnie.
  • W zestawie Windows 2000 Resource Kit wymieniono inne narzędzie (svcacls.exe), które manipuluje prawami do zarządzania usługami w taki sam sposób jak narzędzie Subinacl. Jest to błąd dokumentacji.
Materiały referencyjne
Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
269875 SVCACLS.EXE Is Not Included With The Windows 2000 Resource Kits
Właściwości

Identyfikator artykułu: 288129 — ostatni przegląd: 09/19/2003 17:11:00 — zmiana: 2.2

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • kbhowto kbhowtomaster kbtool kbenv KB288129
Opinia