Предоставление пользователям прав на управление службами

В этой статье описано, как предоставить пользователям права на управление службами.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 325349

Аннотация

В этой статье описывается, как предоставить пользователям полномочия по управлению системные службы в Windows Server 2003.

По умолчанию запуск, остановка, приостановка, возобновление или перезапуск службы могут только члены группы администраторов. В этой статье описываются методы, которые можно использовать для предоставления пользователям соответствующих прав на управление службами.

Метод 1. Использование групповой политики

Для изменения разрешений системных служб можно использовать групповую политику. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
324802 HOW TO: Configure Group Policies to Set Security for System Services in Windows Server 2003

Метод 2. Использование шаблонов безопасности

Чтобы использовать шаблоны безопасности для изменения разрешений для системных служб, создайте шаблон безопасности, вы можете сделать следующее:

Нажмите кнопку «Начните», нажмите кнопку«Выполнить», введите «MMC» в поле «Открыть» и нажмите кнопку «ОК».

В меню «Файл» выберите пункт «Добавить или удалить оснастку».

Нажмите кнопку «Добавить»,«Конфигурация безопасности и анализ», «Добавить»,«Закрыть» и «ОК».

В дереве консоли щелкните правой кнопкой мыши «Конфигурация безопасности и анализ» и выберите «Открыть базу данных».

Укажите имя и расположение базы данных и нажмите кнопку «Открыть».

В открываемом диалоговом окне «Импорт шаблона» выберите шаблон безопасности, который нужно импортировать, и нажмите кнопку «Открыть».

В дереве консоли щелкните правой кнопкой мыши «Конфигурация безопасности и анализ» и выберите «Анализ компьютера».

В отображаемом диалоговом окне «Выполнение анализа» примите путь по умолчанию для файла журнала, отображаемого в поле пути к файлу журнала ошибок, или укажите нужное расположение и нажмите кнопку «ОК».

После завершения анализа настройте разрешения служб следующим образом:

1. В дереве консоли щелкните «Системные службы».
2. В правой области дважды щелкните службу, разрешения которой нужно изменить.
3. Щелкните, чтобы выбрать политику «Определить эту политику» в поле «База данных», а затем нажмите кнопку «Изменить безопасность».
4. Чтобы настроить разрешения для нового пользователя или группы, нажмите кнопку «Добавить». В диалоговом окне «Выбор пользователей, компьютеров или групп» введите имя пользователя или группы, для которого необходимо установить разрешения, а затем нажмите кнопку «ОК».
5. В списке «Разрешения для пользователей или групп» настройте разрешения, которые нужны пользователю или группе. При добавлении нового пользователя или группы по умолчанию выбирается разрешение «Разрешить» рядом с разрешением «Начните», «Остановить» и «Приостановить». Этот параметр позволяет пользователю или группе запустить, остановить и приостановить службу.
6. Два раза нажмите кнопку ОК .

Чтобы применить новые параметры безопасности к локальному компьютеру, щелкните правой кнопкой мыши «Конфигурация безопасности и анализ» и выберите «Настроить компьютер».

Вы также можете использовать средство командной строки Secedit для настройки и анализа безопасности системы. Для получения дополнительных сведений о Secedit нажмите кнопку «Начните» и выберите «Выполнить». Введите cmd в поле «Открыть» и нажмите кнопку «ОК». В командной подсказке введите secedit /? и нажмите ввод. Обратите внимание, что при использовании этого метода для применения параметров все параметры в шаблоне повторно применяются, и это может переопределять другие ранее настроенные разрешения файлов, реестра или служб.

Метод 3. Использование Subinacl.exe

Последний метод назначения прав на управление службами включает использование Subinacl.exe из комплекта ресурсов Windows 2000. Используется следующий синтаксис:

SUBINACL /SERVICE \ \MachineName\ServiceName /GRANT=[DomainName ] UserName[=Access]

Пользователь, который выполняет эту команду, должен иметь права администратора для успешного выполнения этой команды.

Если имя компьютера опущено, предполагается локальный компьютер.

Если domainName опущен, поиск учетной записи ведется на локальном компьютере.

Хотя в примере синтаксиса указано имя пользователя, это также будет работать и для групп пользователей.

Доступные для Access значения:

F : полный контроль
R : универсальное чтение
W : Generic Write
X : Generic eXecute
L : Read controL
Вопрос: конфигурация службы запросов
S : состояние службы запросов
E : Enumerate Dependent Services
C : конфигурация изменения службы
T : Запуск службы
O : Stop Service
P : Pause/Continue Service
I : Опрашиваемая служба
U : Service User-Defined Control Commands

Если Access опущен, предполагается, что имеется «F (полный доступ)».

Subinacl поддерживает аналогичные функции по отношению к файлам, папок и ключам реестра. Дополнительные сведения см. в комплекте ресурсов для Windows 2000.

Автоматизация нескольких изменений

С помощью Subinacl нельзя указать параметр, который будет устанавливать необходимый доступ для всех служб на определенном компьютере. Однако в следующем примере сценария демонстрируется один из способов расширения метода 3 для автоматизации задачи:

Сохраните сценарий в VBS-файле, например «Services.vbs», и вызовите его следующим образом:

CSRIPT Services.vbs DomainName ComputerName UserName Access

Закомментайте или удалите строку «Wscript.Echo. » если отзывы не требуются.

В этом примере не проверяется ошибка; Поэтому используйте его осторожно.

Использование запуска приложения с учетной записи администратора в Windows Server 2003

В этой статье описывается использование команды для запуска Run as приложения в качестве администратора.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 325362

Аннотация

Можно использовать для запуска приложения в качестве администратора, если вы хотите выполнять административные задачи при входе в систему в качестве члена другой группы, например «Пользователи» или Run as «Power Users».

Действия, необходимые для запуска приложения с учетной записи администратора

Чтобы запустить Run as приложение в качестве администратора, выполните следующие действия.

1. Найдите приложение, которое нужно запустить в проводнике Windows, консоли управления (MMC) или панели управления.
2. Нажимайте и удерживайте клавишу SHIFT, щелкнув правой кнопкой мыши исполняемый файл или значок приложения, а затем выберите «Запустить как».
3. Выберите следующего пользователя.
4. В полях «Имя пользователя»и «Пароль» введите учетную запись администратора и пароль, а затем выберите «ОК».

• Некоторые приложения могут не поддерживать использование Run as команды.
• Возможно, вы не сможете запустить приложение, консоль MMC или средство панели управления из сетевого расположения с помощью команды, если учетные данные, используемые для подключения к сетевой сети, отличаются от учетных данных, используемых для запуска Run as приложения. Учетные данные, используемые для запуска приложения, могут не разрешить доступ к одной сетевой сети.
• Вы также можете использовать Run as команду из командной строки. Для получения дополнительных сведений выберите «Начните» и выберите «Выполнить». В поле «Открыть» введите cmd и выберите «ОК». В командной подсказке введите runas /?, а затем нажмите ввод.

Windows 2003 права администратора

а) идешь к админу
б) узнаешь, какое пиво он любит
в) идешь в магазин
г) покупаешь много любимого пива админа
д) приносишь админу
е) получаешь свои интернет-пейджеров

а если серьезно, то для будет достаточно входить в группу локальных администраторов данного компьютера.

Fierce Monk
Например я пиво не люблю

=BadDoc=
Есть проги для подбора пароля перебором, но это бессмысленно, если админ поставил норальный пароль (это символов 6-7 разных ).

Далее. Если админ серьезный то он открывает доступ, а не закрывает его и следовательно интернет порты пейджеров скорее всего закрыты.

С дровами imho надо так.
Придти к админу, даже без пива, и обосновать необходимость дров (кстати, что за дрова?)
Если админ работает нормально, то скорее всего потратит 15 минут на нормальную установку дров.

а потом придет админ и все опошлит

зы. у нас тоже было несколько «рукастых» — быстро научили руки при себе держать (а на серваки вообще никого не пускаем)

VictorK

=BadDoc=
По поводу рук и их заточки никаких претензий.
Просто «на кухне одна хозяйка», а в сети один админ (или бригада).
Если хочешь и дальше сам творить, попробуй с руководством и с админом договорится.
Может доверят.

=BadDoc=
Тогда попробуй перебор пароля по словарям, а потом и прямой, может прокатит.
Если админы халявят, может и пароль такой-же.
Вопрос с дровами прояснится этого.

По интернет пейджерам — для начала попробуй неустанавливаемые, типа миранды, может порты закрыты и дергаешся зря.

Как получить права администратора в Windows.

В процессе установки операционной системы Windows система предлагает создать пользовательскую учетную запись (аккаунт), которому по умолчанию не доступны все привилегии и возможности. Делается это для безопасности, чтобы неопытный пользователь не мог вносить в систему каких-либо глобальных изменений, которые приведут к необратимым последствиям, поломке системы. Правда учетная запись с правами администратора все же создается, но только в скрытом режиме, и по умолчанию она не доступна.

Если вы все таки решили получить для своей учетной записи права администратора (причины могут быть самые разные), то давайте рассмотрим 5 способов как это сделать.

1. Самый простой способ

Открываем Панель управления → Учетные записи пользователей → Изменение типа своей учетной записи.

В следующем окне помечаем пункт «Администратор» и нажимаем «Изменение типа учетной записи».

2. С помощью командной строки

Открываем командную строку от имени администратора (например, с зажатой клавишей Shift нажимаем правую кнопку мыши на свободном месте рабочего стола, в контекстном меню выбираем «Открыть командную строку»). В командной строке вводим net user и нажимаем Enter. Откроется список учетных записей пользователей и системных учетных записей. Запоминаем точное название учетной записи, которой хотим предоставить права администратора. Вводим команду net localgroup Администраторы имя_пользователя /add и нажимаем клавишу Enter.

Затем вводим net localgroup Пользователи Имя_пользователя /delete , где вместо «Имя_пользователя» вводим название учетной записи, нажимаем Enter. Если имя пользователя состоит из нескольких слов, необходимо заключить его в кавычки.

Можно попробовать ввести такую команду: net user Администратор /active:yes .

3. С помощью утилиты «Локальные пользователи и группы»

Открываем диалоговое окно «Выполнить» (Win + R), вводим команду lusrmgr.msc и нажимаем «ОК». Открываем папку «Пользователи», дважды кликаем по учетной записи, для которой хотим получить права администратора.

В открывшемся окне на вкладке «Членство в группах» нажимаем «Дополнительно».

В следующем окне в поле имен выбираемых объектов пишем Администраторы и нажимаем «ОК».

В предыдущем окне, в списке групп, удаляем лишние, чтобы осталась только группа «Администраторы».

4. С помощью редактора реестра

Открываем редактор реестра (Win + R → regedit → «ОК»). Открываем ветку HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System . Выделив раздел System, справа находим следующие параметры и задаем им такие значения:

«FilterAdministratorToken»=dword:00000001 «EnableLUA»=dword:00000001 «ConsentPromptBehaviorAdmin»=dword:00000000

5. С помощью локальных групповых политик

Открываем «Редактор локальных групповых политик» (Win + R → gpedit.msc → «ОК»). Открываем ветку: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности . В правой части окна находим параметр « Учетные записи: Состояние учетной записи Администратор ».

Двойным щелчком левой кнопки мыши открываем этот параметр, задаем значение «Включен», нажимаем «Применить» и «ОК».

Windows 2003 права администратора

Вопрос

Ответы

msiexec /i program_name.msi /l*v c:\msi.log

Посмотрите в c:\msi.log куда не записываются данные.

Возможно поможет сброс настроек безопасности:

• Предложено в качестве ответа Golovchenko Ian 24 августа 2010 г. 17:08
• Помечено в качестве ответа Vinokurov Yuriy Moderator 25 августа 2010 г. 7:07

Все ответы

Покажите, членом каких групп является этот пользователь.

Может, есть ошибки в журналах System/Application?

MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

Как это можно это можно узнать?

Всё в Computer Management. Правой кнопкой на MyComputer -> Manage.

(Простите, а как вы работаете, не зная такого? ой-ой. Хотя бы книжку какую прочитайте по Windows.)

MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

Простите мне мою некомпетентность. Пользователь Administrator является членом одной группы Administrators.

P.S. Чаще всего при установке софта выдает ошибку 1304.

msiexec /i program_name.msi /l*v c:\msi.log

Посмотрите в c:\msi.log куда не записываются данные.

Возможно поможет сброс настроек безопасности:

• Предложено в качестве ответа Golovchenko Ian 24 августа 2010 г. 17:08
• Помечено в качестве ответа Vinokurov Yuriy Moderator 25 августа 2010 г. 7:07

Сброс настроек безопасности помог! Большое спасибо!

Подскажите куда копать, та же проблема, есть пользователь в группе локальных администраторов, но прав администраторов у них нет, походу слетели с группы

НО, когда загружаюсь под сейвмодом с поддержкой сети — права админские есть