DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 325349 - Geändert am: Montag, 6. April 2009 - Version: 8.1

 

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, Benutzern die Berechtigung zum Verwalten von Systemdiensten in Windows Server 2003 gewähren.

Standardmäßig können nur Mitglieder der Gruppe Administratoren starten, beenden, Anhalten, fortsetzen oder Neustarten eines Dienstes. Dieser Artikel beschreibt Methoden, die Sie verwenden können, um die entsprechenden Rechte für Benutzer zum Verwalten von Diensten zu erteilen.

Methode 1: Verwenden von Gruppenrichtlinien

Gruppenrichtlinien können Sie Berechtigungen auf Systemdiensten ändern. Weitere Informationen dazu, wie Sie dazu finden Sie die folgende KB-Artikelnummer:
324802  (http://support.microsoft.com/kb/324802/EN-US/ ) Konfigurieren von Gruppenrichtlinien zum Festlegen Sicherheit für Systemdienste in Windows Server 2003

Methode 2: Verwenden von Sicherheitsvorlagen

Um Sicherheitsvorlagen verwenden Berechtigungen System Dienste ändern, erstellen Sie eine Vorlage Sicherheit. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie Mmc im Feld Öffnen und klicken Sie dann auf OK .
  2. Klicken Sie im Datei auf Snap-In hinzufügen/entfernen .
  3. Klicken Sie auf Hinzufügen , klicken Sie auf Sicherheitskonfiguration und-Analyse , klicken Sie auf Hinzufügen , klicken Sie auf Schließen, und klicken Sie dann auf OK .
  4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und-Analyse , und klicken Sie dann auf Datenbank öffnen .
  5. Geben Sie einen Namen und Speicherort für die Datenbank, und klicken Sie dann auf Öffnen .
  6. Klicken Sie auf die Sicherheit-Vorlage, die Sie importieren möchten, und klicken Sie dann auf Öffnen , klicken Sie im Dialogfeld Vorlage importieren .
  7. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und-Analyse , und klicken Sie dann auf Computer jetzt analysieren .
  8. Klicken Sie im Dialogfeld Analyse ausführen akzeptieren Sie den Standardpfad für die Protokolldatei, die im Pfad der Fehlerprotokolldatei angezeigt wird bzw. Geben Sie die Position, die Sie möchten klicken Sie dann auf OK .
  9. Nachdem die Analyse abgeschlossen ist, konfigurieren Sie die Service Berechtigungen wie folgt:
    1. Klicken Sie in der Konsolenstruktur auf Systemdienste .
    2. Doppelklicken Sie im rechten Fensterbereich auf den Dienst, dessen Berechtigungen, die Sie ändern möchten.
    3. Klicken Sie dann auf das Kontrollkästchen diese Richtlinie in der Datenbank definieren , und klicken Sie dann auf Sicherheit bearbeiten .
    4. Klicken Sie auf Hinzufügen , um Berechtigungen für einen neuen Benutzer oder eine Gruppe zu konfigurieren. Klicken Sie im Dialogfeld Benutzer oder Gruppen Geben Sie den Namen des Benutzers oder der Gruppe, die Berechtigungen für festgelegt werden soll und klicken Sie dann auf OK .
    5. Konfigurieren Sie in der Liste Berechtigungen für User or Group Berechtigungen für den Benutzer oder die Gruppe aus. Beachten Sie, wenn Sie einen neuen Benutzer oder eine Gruppe hinzufügen, das Kontrollkästchen zulassen neben der Berechtigung starten, beenden und Anhalten standardmäßig ausgewählt ist. Diese Einstellung erlaubt den Benutzer oder die Gruppe starten, beenden und Anhalten des Dienstes.
    6. Klicken Sie zweimal auf OK .
  10. Um die neuen Sicherheitseinstellungen auf dem lokalen Computer anzuwenden, klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und-Analyse und klicken Sie dann auf Computer jetzt konfigurieren .
Hinweis : können Sie auch das Befehlszeilenprogramm Secedit konfigurieren und Analysieren der Systemsicherheit. Weitere Informationen zu Secedit klicken Sie auf Start , und klicken Sie dann auf Ausführen . Geben Sie Cmd in das Feld Öffnen ein, und klicken Sie dann auf OK . Geben Sie an der Eingabeaufforderung Secedit /? , und drücken Sie anschließend die [EINGABETASTE]. Beachten Sie, dass Sie diese Methode verwenden, um Einstellungen anzuwenden, alle Einstellungen in die Vorlage erneut angewendet werden und dies möglicherweise andere zuvor konfigurierte Datei, Registrierung oder Service Berechtigungen überschreiben.


Methode 3: Verwenden von Subinacl.exe

Die endgültige Methode zum Zuweisen von Berechtigungen zum Verwalten von Diensten betrifft die Verwendung des Dienstprogramms Subinacl.exe aus Windows 2000 Resource Kit. Die Syntax für diesen lautet wie folgt:
SUBINACL /SERVICE \\MachineName\ServiceName /GRANT = [DomainName\] Benutzername [Access =]

Hinweise

  • Mit diesem Befehl wird der Benutzer muss über Administratorrechte für die erfolgreich abgeschlossen.
  • Wenn MachineName ausgelassen wird, wird der lokale Computer angenommen.
  • Wenn DomainName nicht angegeben wird, wird für das Konto der lokale Computer durchsucht.
  • Obwohl das Syntaxbeispiel einen Benutzernamen angibt, funktionieren das für Benutzergruppen zu.
  • Die Werte, Access nutzen können, sind wie folgt:
       F : Full Control
       R : Generic Read
       W : Generic Write
       X : Generic eXecute
       L : Read controL
       Q : Query Service Configuration
       S : Query Service Status
       E : Enumerate Dependent Services
       C : Service Change Configuration
       T : Start Service
       O : Stop Service
       P : Pause/Continue Service
       I : Interrogate Service 
       U : Service User-Defined Control Commands
    						
  • Wenn Access nicht angegeben wird, wird "F (Vollzugriff)" angenommen.
  • Subinacl unterstützt ähnliche Funktionalität in Bezug auf Dateien, Ordner und Registrierungsschlüssel. Finden Sie weitere Informationen im Windows 2000 Resource Kit .

Automatisieren von mehreren Änderungen

Bei SubInACL besteht keine Möglichkeit, die Sie festlegen, die den erforderlichen Zugriff für alle Dienste auf einem bestimmten Computer angeben können. Im folgenden Beispielskript wird jedoch veranschaulicht eine Möglichkeit, dass Methode 3 erweitert werden können, dass diese Aufgabe automatisieren:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object.  Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next
					

Hinweise

  • Speichern Sie das Skript als eine VBS-Datei, z. B. "Services.vbs", und rufen wie folgt:
       CSRIPT Services.vbs DomainName ComputerName UserName Access
    						
  • Kommentieren Sie Sie aus, oder entfernen Sie... für die Zeile "Wscript.Echo", wenn kein Feedback erforderlich ist.
  • In diesem Beispiel wird keine Fehlerprüfung; daher sorgfältig.
  • Der Dokumentation des Windows 2000 Resource Kit wird ein anderes Dienstprogramm (svcacls.exe), das die gleichen Service Management Rechte Manipulation als SubInACL ausführt. Dies ist ein Dokumentationsfehler.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbmt kbmgmtservices kbenv kbhowto kbhowtomaster KB325349 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 325349  (http://support.microsoft.com/kb/325349/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: