DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 288129 - Ultima modifica: giovedì 14 giugno 2007 - Revisione: 4.4

In questa pagina

Sommario

In questo articolo vengono descritti vari metodi di assegnazione agli utenti di diritti di gestione dei servizi in Windows 2000. Per impostazione predefinita, in Windows 2000 solo gli amministratori o i membri del gruppo Power Users possono avviare, arrestare o sospendere i servizi. In questo articolo vengono descritte le tecniche con cui assegnare tali diritti agli altri utenti e gruppi.

Metodo 1: Assegnazione di diritti mediante i Criteri di gruppo

È possibile assegnare tali diritti agli utenti applicando i Criteri di gruppo. Per ulteriori informazioni su questa operazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256345  (http://support.microsoft.com/kb/256345/ ) Configurazione dei Criteri di gruppo per impostare la protezione dei servizi di sistema
Nell'articolo vengono fornite istruzioni dettagliate. Tuttavia non viene esplicitamente affermato che non vi sono impostazioni corrispondenti nei Criteri di gruppo locali.

Metodo 2: Assegnazione di diritti mediante i modelli di protezione

Questo metodo è molto simile al metodo 1, ma utilizza i modelli di protezione per modificare le autorizzazioni per i servizi di sistema. A questo scopo, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui e digitare MMC.
  2. Scegliere Aggiungi/Rimuovi snap-in dal menu Console.
  3. Scegliere Aggiungi.
  4. Selezionare lo snap-in Analisi e configurazione di protezione, quindi scegliere Aggiungi.
  5. Scegliere Chiudi, quindi OK.
  6. In MMC fare clic con il pulsante destro del mouse su Analisi e configurazione di protezione, quindi scegliere Apri database.
  7. Assegnare un nome al database, quindi individuare la posizione in cui memorizzarlo.
  8. Quando richiesto, selezionare un modello di protezione per l'importazione. Ad esempio, basicwk.inf contiene i valori per le impostazioni standard di un computer Windows 2000 Professional.
  9. In MMC fare clic con il pulsante destro del mouse su Analisi e configurazione di protezione, quindi scegliere l'opzione Esegui analisi sistema. Scegliere una posizione per il file registro quando richiesto.
  10. Al termine dell'analisi configurare le autorizzazioni per i servizi nel modo seguente:
    1. Fare doppio clic sul ramo Servizi di sistema in MMC.
    2. Fare clic con il pulsante destro del mouse sul servizio da modificare, quindi scegliere Protezione.
    3. Scegliere Modifica protezione.
    4. Aggiungere gli account utente in base alle necessità, quindi configurare le autorizzazioni per ciascun account. Per impostazione predefinita, all'utente vengono accordate le autorizzazioni di avvio, arresto e pausa.
  11. Per applicare le nuove impostazioni al computer locale, fare clic con il pulsante destro del mouse su Analisi e configurazione di protezione, quindi scegliere l'opzione Configura il sistema ora.

È anche possibile esportare le impostazioni modificate da MMC e applicarle a più computer mediante lo strumento della riga di comando SECEDIT incluso in Windows 2000. Per ulteriori informazioni sull'utilizzo di SECEDIT, digitare quanto segue al prompt dei comandi:
secedit /?
NOTA: l'applicazione delle impostazioni in questo modo comporta la riapplicazione di tutte le impostazioni del modello e quindi la sovrascrittura delle altre autorizzazioni per file, Registro di sistema o servizi impostate in altra maniera.

Metodo 3: Assegnazione di diritti mediante Subinacl.exe

L'ultimo metodo per l'assegnazione di diritti per la gestione dei servizi consiste nell'utilizzo dello strumento Subinacl.exe del Resource Kit di Windows 2000. La sintassi è la seguente:
SUBINACL /SERVICE \\NomeComputer\NomeServizio /GRANT=[NomeDominio\]NomeUtente[=Accesso]

Note

  • L'utente che esegue questo comando deve avere diritti di amministratore per poterlo eseguire correttamente.
  • Se "NomeComputer" viene omesso, viene utilizzato il computer locale.
  • Se "NomeDominio" viene omesso, l'account viene cercato nel computer locale.
  • Sebbene l'esempio della sintassi richieda un nome utente, il comando funziona anche per gruppi di utenti.
  • I valori che 'Accesso' può assumere sono:
       F: Controllo completo
       R: Lettura generale
       W: Scrittura generale
       X: Esecuzione generale
       L: Controllo lettura
       Q: Configurazione del servizio query
       S: Stato servizio query
       E: Enumerazione servizi dipendenti
       C: Configurazione modifiche servizi
       T: Avvio servizi
       O: Arresto servizi
       P: Pausa/Continuazione servizi
       I: Interrogazione servizi 
       U: Comandi di controllo servizi definiti dall'utente
    					
  • Se 'Accesso' viene omesso, viene utilizzato il valore 'F (Controllo completo)'.
  • Subinacl supporta una funzionalità simile in relazione a file, cartelle e chiavi del Registro di sistema. Per ulteriori informazioni, fare riferimento al Resource Kit di Windows 2000.
  • Il nome del servizio deve essere nel formato breve utilizzato per la relativa chiave nel Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>
    Se il nome del servizio contiene spazi, l'intero parametro deve essere racchiuso tra virgolette. Ad esempio:
    "\\NomeComputer\Nome Servizio Con Spazi"

Automazione di più modifiche

In Subinacl non è possibile specificare alcuna opzione che imposti l'accesso necessario per tutti i servizi in un determinato computer. Tuttavia il seguente script di esempio mostra un modo in cui è possibile estendere il metodo precedente per automatizzare l'attività:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object.  Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next
				

Note

  • Lo script deve essere salvato come file con estensione VBS, ad esempio "Services.vbs", e denominato nel modo seguente:
       CSCRIPT Services.vbs NomeDominio NomeComputer NomeUtente Accesso
    					
  • Disabilitare o rimuovere la riga 'Wscript.Echo ...' se non è necessario alcun feedback.
  • Questo esempio non esegue il controllo degli errori pertanto deve essere utilizzato con attenzione.
  • La documentazione del Resource Kit di Windows 2000 menziona un altro strumento (svcacls.exe) che esegue la stessa manipolazione dei diritti di gestione dei servizi eseguita da Subinacl. Si tratta di un errore della documentazione.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
269875  (http://support.microsoft.com/kb/269875/ ) SVCACLS.EXE non è incluso nei Resource Kit di Windows 2000

Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Advanced Server
Chiavi: 
kbhowtomaster kbenv KB288129
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store