DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 288129 - Geändert am: Dienstag, 19. August 2003 - Version: 2.1

Dieser Artikel wurde zuvor veröffentlicht unter D288129
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
288129  (http://support.microsoft.com/kb/288129/en-us/ ) HOW TO: Grant Users Rights to Manage Services in Windows 2000

Auf dieser Seite

Zusammenfassung

In diesem Artikel werden verschiedene Verfahren beschrieben, mit denen Sie Benutzern die zum Verwalten von Diensten in Windows 2000 erforderlichen Berechtigungen erteilen. In der Windows 2000-Standardeinstellung können Dienste nur von Administratoren und Hauptbenutzern gestartet, beendet oder angehalten werden. In diesem Artikel werden Verfahren erläutert, mit denen Sie diese Berechtigungen auch anderen Benutzern oder Gruppen gewähren können.

Verfahren 1: Erteilen von Berechtigungen mit Hilfe der Gruppenrichtlinie

Die erforderlichen Berechtigungen können Benutzern durch Anwenden der Gruppenrichtlinie erteilt werden. Weitere Informationen zu diesem Thema finden Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
256345  (http://support.microsoft.com/kb/256345/DE/ ) Configuring Group Policies to Set Security for System Services
Dieser Artikel enthält ausführliche Anweisungen. Es wird allerdings nicht ausdrücklich darauf hingewiesen, dass es keine gleichwertigen Einstellungen in den Richtlinien der lokalen Gruppe gibt.

Verfahren 2: Erteilen von Berechtigungen mit Hilfe von Sicherheitsvorlagen

Dieses Verfahren entspricht weitgehend Verfahren 1, die Berechtigungen für Systemdienste werden jedoch mit Hilfe von Sicherheitsvorlagen geändert. Führen Sie dazu die folgenden Schritte durch:
  1. Klicken Sie auf Start und auf Ausführen, und geben Sie dann Folgendes ein: mmc .
  2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Hinzufügen.
  4. Aktivieren Sie das Snap-In Sicherheitskonfiguration und -analyse , und klicken Sie dann auf Hinzufügen.
  5. Klicken Sie auf Schließen und dann auf OK.
  6. Klicken Sie in der MMC mit der rechten Maustaste auf das Element Sicherheitskonfiguration und -analyse , und klicken Sie dann auf Datenbank öffnen.
  7. Geben Sie einen Namen für die Datenbank ein, und wechseln Sie dann zum vorgesehenen Speicherort für die Datenbank.
  8. Wählen Sie nach der entsprechenden Aufforderung eine zu importierende Sicherheitsvorlage aus. Die Vorlage basicwk.inf enthält beispielsweise die Werte für die Standardeinstellungen auf einem Computer unter Windows 2000 Professional.
  9. Klicken Sie in der MMC mit der rechten Maustaste auf das Element Sicherheitskonfiguration und -analyse , und klicken Sie dann auf die Option Computer jetzt analysieren . Geben Sie auf die entsprechende Aufforderung hin einen Speicherort für die Protokolldatei an.
  10. Nach dem Abschluss der Analyse gehen Sie folgendermaßen vor, um die Berechtigungen für Dienste zu konfigurieren:
    1. Doppelklicken Sie in der MMC auf Systemdienste.
    2. Klicken Sie mit der rechten Maustaste auf den zu ändernden Dienst, und klicken Sie dann auf Sicherheit.
    3. Klicken Sie auf Sicherheit bearbeiten.
    4. Fügen Sie die benötigten Benutzerkonten hinzu, und konfigurieren Sie die Berechtigungen für jedes Konto. In der Standardeinstellung erhält der Benutzer die Berechtigungen zum Starten, Beenden und Anhalten.
  11. Um die neuen Einstellungen auf den lokalen Computer zu übernehmen, klicken Sie einfach mit der rechten Maustaste auf das Element Sicherheitskonfiguration und -analyse und klicken dann auf die Option System jetzt konfigurieren.

Mit dem Windows 2000-Befehlszeilenprogramm SECEDIT können Sie die bearbeiteten Einstellungen außerdem aus der MMC exportieren und auf mehrere Computer anwenden. Für weitere Informationen über die Verwendung von SECEDIT geben Sie Folgendes an der Eingabeaufforderung ein:
secedit /?
HINWEIS: Wenn Sie die Einstellungen auf diese Art anwenden, werden sämtliche Einstellungen in der Vorlage neu angewendet. Dabei können Berechtigungen überschrieben werden, die auf andere Art für Dateien, Dienste und die Registrierung eingerichtet wurden.

Verfahren 3: Erteilen von Berechtigungen mit "Subinacl.exe"

Beim letzten Verfahren, mit dem Sie Berechtigungen zum Verwalten von Diensten zuweisen können, wird das Dienstprogramm Subinacl.exe aus dem Windows 2000 Resource Kit verwendet. Die Syntax lautet:
SUBINACL /SERVICE \\Computername\Dienstname /GRANT=[Domänename\]Benutzername[=Zugriff]

Hinweise

  • Ein Benutzer, der diesen Befehl ausführen möchte, muss über Administratorberechtigungen verfügen.
  • Wenn kein Computername angegeben ist, wird der lokale Computer verwendet.
  • Wenn kein Domänenname angegeben ist, wird das Konto auf dem lokalen Computer gesucht.
  • Sie können einen Benutzernamen wie im Syntaxbeispiel oder eine Benutzergruppe angeben.
  • Mögliche Werte für Zugriff sind:
       F : Vollzugriff
       R : Lesen
       W : Schreiben
       X : Ausführen
       L : Lesesteuerung
       Q : Dienstkonfiguration abfragen
       S : Dienststatus abfragen
       E : Abhängige Dienste auflisten
       C : Dienstkonfiguration ändern
       T : Dienst starten
       O : Dienst stoppen
       P : Dienst anhalten/fortsetzen
       I : Dienst abfragen
       U : Benutzerdefinierte Steuerbefehle für Dienste
  • Wenn kein Zugriff angegeben ist, wird F (Vollzugriff) verwendet.
  • Subinacl unterstützt ähnliche Funktionen für Dateien, Ordner und Registrierungsschlüssel. Weitere Informationen finden Sie im Windows 2000 Resource Kit.

Automatisieren mehrerer Änderungen

Subinacl besitzt keine Option, mit der die gewünschte Zugriffart für alle Dienste auf einem Computer angegeben werden kann. Das folgende Beispielskript veranschaulicht jedoch, wie das oben beschriebene Verfahren für die automatische Durchführung erweitert werden kann:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object. Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of service
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "Benutzerrechte für Dienst " & Service.name & " geändert"
   next

Hinweise

  • Das Skript muss als VBS-Datei, z. B. Dienste.vbs, gespeichert und folgendermaßen aufgerufen werden:
       CSRIPT Dienste.vbs Domänenname Computername Benutzername Zugriff
  • Wenn keine Meldungen erforderlich sind, kommentieren Sie die Zeile Wscript.Echo... aus, oder entfernen Sie sie.
  • In diesem Beispiel wird keine Fehlerprüfung durchgeführt. Verwenden Sie den Code daher mit Vorsicht.
  • In der Windows 2000 Resource Kit-Dokumentation wird ein weiteres Dienstprogramm (svcacls.exe) erwähnt, mit dem die Berechtigungen für die Dienstverwaltung wie mit Subinacl bearbeitet werden können. Dies ist jedoch ein Fehler in der Dokumentation.

Verweise

Weitere Informationen erhalten Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
269875  (http://support.microsoft.com/kb/269875/DE/ ) SVCACLS.EXE Is Not Included With The Windows 2000 Resource Kits


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Server
Keywords: 
kbhowto kbhowtomaster kbtool kbenv KB288129
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: