DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 288129 - Dernière mise à jour: mardi 19 août 2003 - Version: 4.1

Ancien nº de publication de cet article : F288129

Sommaire

Résumé

Cet article décrit plusieurs méthodes permettant d'accorder aux utilisateurs des droits de gestion de services dans Windows 2000. Par défaut, dans Windows 2000, seuls les Administrateurs et les Utilisateurs avec pouvoir peuvent démarrer, arrêter ou interrompre des services. Cet article décrit des techniques qui permettent d'accorder ces droits à d'autres utilisateurs et groupes.

Méthode 1 : Accord de droits à l'aide d'une stratégie de groupe

Il est possible d'accorder ces droits aux utilisateurs en appliquant une stratégie de groupe. Pour plus d'informations sur la procédure à suivre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256345  (http://support.microsoft.com/kb/256345/FR/ ) Configurer des stratégies de groupe pour définir la sécurité pour les services système
Cet article fournit des instructions pas à pas détaillées. Il ne précise toutefois pas explicitement qu'il n'existe pas de paramètres correspondants dans la Stratégie de groupe locale.

Méthode 2 : Accord de droits à l'aide de modèles de sécurité

Cette méthode est très similaire à la Méthode 1, mais elle utilise des modèles de sécurité pour modifier les autorisations sur les services système. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez MMC.
  2. Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Cliquez sur Ajouter.
  4. Sélectionnez le composant logiciel enfichable Configuration et analyse de la sécurité, puis cliquez sur Ajouter.
  5. Cliquez sur Fermer, puis sur OK.
  6. Dans la console MMC, cliquez avec le bouton droit sur l'élément Configuration et analyse de la sécurité, puis cliquez sur Ouvrir une base de données.
  7. Attribuez un nom à la base de données, puis localisez l'emplacement où vous souhaitez l'enregistrer.
  8. À l'invite, sélectionnez un modèle de sécurité à importer. Le fichier "basicwk.inf", par exemple, contient des valeurs pour les paramètres standard d'un ordinateur Windows 2000 Professionnel.
  9. Dans la console MMC, cliquez avec le bouton droit sur l'élément Configuration et analyse de la sécurité, puis cliquez sur Analyser l'ordinateur maintenant. À l'invite, sélectionnez un emplacement pour le fichier journal.
  10. Une fois l'analyse terminée, configurez les autorisations sur les services comme suit :
    1. Double-cliquez sur la branche Services système dans la console MMC.
    2. Cliquez avec le bouton droit sur le service à modifier, puis cliquez sur Sécurité.
    3. Cliquez sur Modifier la sécurité.
    4. Ajoutez des comptes d'utilisateurs selon les besoins, puis configurez les autorisations pour chaque compte. Par défaut, des autorisations "Démarrage, arrêt et pause" seront accordées à l'utilisateur.
  11. Pour appliquer les nouveaux paramètres à l'ordinateur local, cliquez avec le bouton droit sur l'élément Configuration et analyse de la sécurité, puis cliquez sur l'option Configurer l'ordinateur maintenant.

Il est également possible d'exporter vos paramètres modifiés à partir de la console MMC et de les appliquer à plusieurs machines à l'aide de l'outil de ligne de commande SECEDIT inclus dans Windows 2000. Pour plus d'informations sur l'utilisation de SECEDIT, tapez la ligne suivante à l'invite de commande :
secedit /?
REMARQUE : l'application des paramètres de cette façon réapplique tous les paramètres du modèle et peut donc entraîner le remplacement d'autres autorisations de fichier, registre ou service définies d'autres manières.

Méthode 3 : Accord de droits à l'aide de Subinacl.exe

La dernière méthode disponible pour accorder des droits de gestion des services consiste à utiliser l'utilitaire Subinacl.exe du Kit de ressources de Windows 2000. La syntaxe est la suivante :
SUBINACL /SERVICE \\NomdeMachine\NomdeService /GRANT=[NomdeDomaine\]Nomd'Utilisateur[=Accès]

Remarques

  • Pour que cette commande réussisse, l'utilisateur qui l'exécute doit disposer de droits d'administrateur.
  • Si "NomdeMachine" est omis, la machine locale est prise par défaut.
  • Si "NomdeDomaine" est omis, une recherche du compte est effectuée sur la machine locale.
  • Bien que l'exemple de syntaxe indique un nom d'utilisateur, cette méthode fonctionne également avec des groupes d'utilisateurs.
  • 'Accès' peut prendre les valeurs suivantes :
       F : Contrôle total
       R : Lecture générique
       W : Écriture générique
       X : Exécution générique
       L : Contrôle en lecture
       Q : Configuration du service de requête
       S : État du service de requête
       E : Énumération des services dépendants
       C : Configuration de changement de service
       T : Démarrer le service
       O : Arrêter le service
       P : Interrompre/reprendre le service
       I : Interroger le service 
       U : Commandes de contrôle de service définies par l'utilisateur
  • Si 'Accès' est omis, 'F (Contrôle total)' est sélectionné par défaut.
  • Subinacl prend en charge une fonctionnalité similaire concernant les fichiers, les dossiers et les clés de registre. Pour plus d'informations, consultez le Kit de ressources de Windows 2000.

Automatisation de changements multiples

Avec Subinacl, aucune option ne permet de définir l'accès spécifié pour tous les services sur un ordinateur donné. L'exemple de script suivant illustre toutefois une manière d’étendre la méthode ci-dessus pour automatiser cette tâche :
   strDomain   = Wscript.Arguments.Item(0)'domaine dans lequel est détenu le compte d'utilisateur
   strComputer = Wscript.Arguments.Item(1)'nom netbios de l'ordinateur
   strSecPrinc = Wscript.Arguments.Item(2)'nom d'ouverture de session de l'utilisateur, au format suivant : NomdeDomaine\Nomd'Utilisateur
   strAccess   = Wscript.Arguments.Item(3)'accès accordé, tel que défini dans la liste de la Base de connaissances
 
   'liaison vers l'ordinateur spécifié
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",ordinateur")

   'crée un objet shell.  Nécessaire pour appeler subinacl ultérieurement
   set objCMD = CreateObject("Wscript.Shell")

   'extrait une liste de services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'appelle subinacl pour définir les autorisations
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'signale les services qui ont été modifiés
   Wscript.Echo "Droits d'utilisateur modifiés pour le service " & Service.name
   next

Remarques

  • Le script doit être enregistré au format .vbs, par exemple "Services.vbs," et appelé de la manière suivante :
       CSRIPT Services.vbs NomdeDomaine Nomd'Ordinateur Nomd'Utilisateur Accès
  • Si aucun commentaire n'est requis, supprimez la ligne 'Wscript.Echo ...'.
  • Cet exemple de script n'effectue aucune vérification d'erreur et doit donc être utilisé avec prudence.
  • La documentation du Kit de ressources de Windows 2000 mentionne un autre utilitaire (svcacls.exe) qui effectue la même manipulation des droits de gestion des services que Subinacl. Il s'agit d'une erreur de documentation.

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
269875  (http://support.microsoft.com/kb/269875/ ) SVCACLS.EXE n'est pas inclus dans les Kits de ressources de Windows 2000

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Server
Mots-clés : 
kbhowto kbhowtomaster kbtool kbenv KB288129
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store