DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 325349 - Última revisão: segunda-feira, 6 de abril de 2009 - Revisão: 8.1

 

Nesta página

Sumário

Este artigo descreve como conceder aos usuários a autoridade para gerenciar serviços do sistema no Windows Server 2003.

Por padrão, somente membros do grupo Administradores podem iniciar, parar, pausar, continuar ou reiniciar um serviço. Este artigo descreve métodos que você pode usar para conceder os direitos apropriados para os usuários para gerenciar serviços.

Método 1: Usar diretiva de grupo

Você pode usar diretiva de grupo para alterar permissões em serviços do sistema. Para obter informações adicionais sobre como fazer isso, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
324802  (http://support.microsoft.com/kb/324802/EN-US/ ) COMO: Configurar diretivas de grupo para definir segurança para serviços do sistema no Windows Server 2003

Método 2: Usar modelos de segurança

Para usar modelos de segurança para alterar permissões em serviços do sistema, crie um modelo de segurança. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , clique em Executar , digite mmc na caixa Abrir e, em seguida, clique em OK .
  2. No menu arquivo , clique em Adicionar/remover Snap-in .
  3. Clique em Adicionar , clique em configuração de segurança e análise , clique em Adicionar , clique em Fechar e, em seguida, clique em OK .
  4. Na árvore de console, clique com o botão direito do mouse em Security Configuration and Analysis e, em seguida, clique em Abrir banco de dados .
  5. Especifique um nome e local para o banco de dados e, em seguida, clique em Abrir .
  6. Na caixa de diálogo Importar modelo , clique no modelo de segurança que você deseja importar e, em seguida, clique em Abrir .
  7. Na árvore de console, clique com o botão direito do mouse em Security Configuration and Analysis e, em seguida, clique em Analisar computador agora .
  8. Na caixa de diálogo Executar análise , aceite o caminho padrão para o arquivo de log que é exibido na caixa caminho do arquivo de log de erros ou especifique o local que você deseja e, em seguida, clique em OK .
  9. Depois que a análise for concluída, configure as permissões de serviço da seguinte forma:
    1. Na árvore de console, clique em Serviços do sistema .
    2. No painel direito, clique duas vezes o serviço cujas permissões você deseja alterar.
    3. Clique em para marcar a caixa de seleção definir a diretiva no banco de dados e, em seguida, clique em Editar segurança .
    4. Para configurar permissões para um novo usuário ou grupo, clique em Adicionar . Na caixa de diálogo Selecionar usuários, computadores ou grupos , digite o nome do usuário ou grupo que você deseja definir permissões para e, em seguida, clique em OK .
    5. Na lista permissões para User or Group, configure as permissões que deseja para o usuário ou grupo. Observe que, quando você adiciona um novo usuário ou grupo, a caixa de seleção Permitir ao lado da permissão de Iniciar, parar e pausar está selecionada por padrão. Essa configuração permite que o usuário ou grupo para iniciar, parar e pausar o serviço.
    6. Clique duas vezes em OK .
  10. Para aplicar as novas configurações de segurança para o computador local, clique com o botão direito do mouse em Security Configuration and Analysis e, em seguida, clique em Configurar agora .
Observação : você pode usar também a ferramenta de linha de comando Secedit para configurar e analisar a segurança do sistema. Para obter mais informações sobre o Secedit, clique em Iniciar e, em seguida, clique em Executar . Digite cmd na caixa Abrir e, em seguida, clique em OK . No prompt de comando, digite secedit /? , e, em seguida, pressione ENTER. Observe que, quando você usar esse método para aplicar configurações, todas as configurações do modelo são reaplicadas e isso pode substituir outros arquivo anteriormente configurado, registro ou permissões de serviço.


Método 3: Usar Subinacl.exe

O método final para atribuir direitos para gerenciar serviços envolve o uso do utilitário Subinacl.exe do Windows 2000 Resource Kit. A sintaxe para isso é da seguinte maneira:
SUBINACL /SERVICE \\MachineName\ServiceName /GRANT = [DomainName\] nome_do_usuário [= acesso]

Anotações

  • O usuário que executa este comando deve ter direitos de administrador para ele concluir com êxito.
  • Se MachineName for omitido, a máquina local será considerada.
  • Se DomainName for omitido, o computador local é pesquisado para a conta.
  • Embora o exemplo de sintaxe indica um nome de usuário, isso funcionará para grupos de usuários muito.
  • Os valores que possa assumir o Access são da seguinte maneira:
       F : Full Control
       R : Generic Read
       W : Generic Write
       X : Generic eXecute
       L : Read controL
       Q : Query Service Configuration
       S : Query Service Status
       E : Enumerate Dependent Services
       C : Service Change Configuration
       T : Start Service
       O : Stop Service
       P : Pause/Continue Service
       I : Interrogate Service 
       U : Service User-Defined Control Commands
    						
  • Se Access for omitido, será considerado "F (controle total)".
  • SubInACL oferece suporte à funcionalidade semelhante em relação à arquivos, pastas e chaves do Registro. Consulte o Windows 2000 Resource Kit para obter mais informações.

Automatizando várias alterações

Com Subinacl, não há nenhuma opção que você pode especificar que definirá o acesso necessário para todos os serviços em um computador específico. No entanto, o script de exemplo a seguir demonstra uma maneira que o método 3 pode ser estendido para automatizar a tarefa:
   strDomain   = Wscript.Arguments.Item(0)'domain where computer account is held
   strComputer = Wscript.Arguments.Item(1)'computer netbios name
   strSecPrinc = Wscript.Arguments.Item(2)'user's login name as in: DomainName\UserName
   strAccess   = Wscript.Arguments.Item(3)'access granted, as per the list in the KB
 
   'bind to the specified computer
   set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer")

   'create a shell object.  Needed to call subinacl later
   set objCMD = CreateObject("Wscript.Shell")

   'retrieve a list of services
   objTarget.filter = Array("Service")

   For each Service in objTarget
 
   'call subinacl to se the permissions
   command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess
   objCMD.Run command, 0

   'report the services that have been changed
   Wscript.Echo "User rights changed for " & Service.name & " service"
   next
					

Anotações

  • Salve o script como um arquivo .vbs, tal como "Services.vbs" e chamá-lo da seguinte maneira:
       CSRIPT Services.vbs DomainName ComputerName UserName Access
    						
  • Comentar ou remova a linha 'Wscript.Echo'... Se não há comentários for necessário.
  • Este exemplo não faz nenhuma verificação de erro; portanto, usá-lo com cuidado.
  • A documentação do Windows 2000 Resource Kit menciona outro utilitário (svcacls.exe) que executa a manipulação de direitos de gerenciamento de serviço mesmo como Subinacl. Este é um erro de documentação.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbmt kbmgmtservices kbenv kbhowto kbhowtomaster KB325349 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 325349  (http://support.microsoft.com/kb/325349/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store