Предоставление пользователям прав на управление службами

В этой статье описано, как предоставить пользователям права на управление службами.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 325349

Аннотация

В этой статье описывается, как предоставить пользователям полномочия по управлению системные службы в Windows Server 2003.

По умолчанию запуск, остановка, приостановка, возобновление или перезапуск службы могут только члены группы администраторов. В этой статье описываются методы, которые можно использовать для предоставления пользователям соответствующих прав на управление службами.

Метод 1. Использование групповой политики

Для изменения разрешений системных служб можно использовать групповую политику. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
324802 HOW TO: Configure Group Policies to Set Security for System Services in Windows Server 2003

Метод 2. Использование шаблонов безопасности

Чтобы использовать шаблоны безопасности для изменения разрешений для системных служб, создайте шаблон безопасности, вы можете сделать следующее:

Нажмите кнопку «Начните», нажмите кнопку«Выполнить», введите «MMC» в поле «Открыть» и нажмите кнопку «ОК».

В меню «Файл» выберите пункт «Добавить или удалить оснастку».

Нажмите кнопку «Добавить»,«Конфигурация безопасности и анализ», «Добавить»,«Закрыть» и «ОК».

В дереве консоли щелкните правой кнопкой мыши «Конфигурация безопасности и анализ» и выберите «Открыть базу данных».

Укажите имя и расположение базы данных и нажмите кнопку «Открыть».

В открываемом диалоговом окне «Импорт шаблона» выберите шаблон безопасности, который нужно импортировать, и нажмите кнопку «Открыть».

В дереве консоли щелкните правой кнопкой мыши «Конфигурация безопасности и анализ» и выберите «Анализ компьютера».

В отображаемом диалоговом окне «Выполнение анализа» примите путь по умолчанию для файла журнала, отображаемого в поле пути к файлу журнала ошибок, или укажите нужное расположение и нажмите кнопку «ОК».

После завершения анализа настройте разрешения служб следующим образом:

1. В дереве консоли щелкните «Системные службы».
2. В правой области дважды щелкните службу, разрешения которой нужно изменить.
3. Щелкните, чтобы выбрать политику «Определить эту политику» в поле «База данных», а затем нажмите кнопку «Изменить безопасность».
4. Чтобы настроить разрешения для нового пользователя или группы, нажмите кнопку «Добавить». В диалоговом окне «Выбор пользователей, компьютеров или групп» введите имя пользователя или группы, для которого необходимо установить разрешения, а затем нажмите кнопку «ОК».
5. В списке «Разрешения для пользователей или групп» настройте разрешения, которые нужны пользователю или группе. При добавлении нового пользователя или группы по умолчанию выбирается разрешение «Разрешить» рядом с разрешением «Начните», «Остановить» и «Приостановить». Этот параметр позволяет пользователю или группе запустить, остановить и приостановить службу.
6. Два раза нажмите кнопку ОК .

Чтобы применить новые параметры безопасности к локальному компьютеру, щелкните правой кнопкой мыши «Конфигурация безопасности и анализ» и выберите «Настроить компьютер».

Вы также можете использовать средство командной строки Secedit для настройки и анализа безопасности системы. Для получения дополнительных сведений о Secedit нажмите кнопку «Начните» и выберите «Выполнить». Введите cmd в поле «Открыть» и нажмите кнопку «ОК». В командной подсказке введите secedit /? и нажмите ввод. Обратите внимание, что при использовании этого метода для применения параметров все параметры в шаблоне повторно применяются, и это может переопределять другие ранее настроенные разрешения файлов, реестра или служб.

Метод 3. Использование Subinacl.exe

Последний метод назначения прав на управление службами включает использование Subinacl.exe из комплекта ресурсов Windows 2000. Используется следующий синтаксис:

SUBINACL /SERVICE \ \MachineName\ServiceName /GRANT=[DomainName ] UserName[=Access]

Пользователь, который выполняет эту команду, должен иметь права администратора для успешного выполнения этой команды.

Если имя компьютера опущено, предполагается локальный компьютер.

Если domainName опущен, поиск учетной записи ведется на локальном компьютере.

Хотя в примере синтаксиса указано имя пользователя, это также будет работать и для групп пользователей.

Доступные для Access значения:

F : полный контроль
R : универсальное чтение
W : Generic Write
X : Generic eXecute
L : Read controL
Вопрос: конфигурация службы запросов
S : состояние службы запросов
E : Enumerate Dependent Services
C : конфигурация изменения службы
T : Запуск службы
O : Stop Service
P : Pause/Continue Service
I : Опрашиваемая служба
U : Service User-Defined Control Commands

Если Access опущен, предполагается, что имеется «F (полный доступ)».

Subinacl поддерживает аналогичные функции по отношению к файлам, папок и ключам реестра. Дополнительные сведения см. в комплекте ресурсов для Windows 2000.

Автоматизация нескольких изменений

С помощью Subinacl нельзя указать параметр, который будет устанавливать необходимый доступ для всех служб на определенном компьютере. Однако в следующем примере сценария демонстрируется один из способов расширения метода 3 для автоматизации задачи:

Сохраните сценарий в VBS-файле, например «Services.vbs», и вызовите его следующим образом:

CSRIPT Services.vbs DomainName ComputerName UserName Access

Закомментайте или удалите строку «Wscript.Echo. » если отзывы не требуются.

В этом примере не проверяется ошибка; Поэтому используйте его осторожно.

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Курс по сетям

Пошаговый ввод в домен Windows 10

Основные команды cmd в Windows

Поднимаем контроллер домена на Windows 2008 R2

Как разрешить ping в Windows Server 2019

Вывод Windows 10 из домена

Что такое Windows Sandbox и как ее включить?

Новый Windows Admin Center. Новые возможности

Еженедельный дайджест

Windows Server 2016: создаем пользователя и даем RDP права

2 минуты чтения

Стало недостаточно просто локального админа и нужно создать новую учетку на Windows Server 2016? А еще и снабдить УЗ правами на RDP (Remote Desktop Protocol)? Легко – займет 3 минуты твоего времени. Переходим к делу.

Обучайся в Merion Academy

Пройди курс по сетевым технологиям

Начать

Что у вас должно быть

• Собственно, сам сервер с Windows Server 2016. Куда же без него;
• Вы должны быть подключены к серверу под администратором (локально или через RDP – не важно).

Шаг 1. Создаем пользователя

Нажмите правой кнопкой мыши на стартовое меню и найдите Computer Management. Кликните на него:

В меню навигации раскройте список Local Users and Groups и нажмите на Users:

Нажмите правой кнопкой мыши и выберите New User. Осталось только заполнить данные о новом пользователе: юзернейм, полное имя, описание и пароль. Особое внимание к галочкам User must change password at next logon (смена пароля после первого входа) и Password never expires (пароль никогда не устаревает – его не нужно менять регулярно):

По окончанию настройки нажмите Create. Готово!

Шаг 2. Даем права на RDP

Нажимаем на Groups и выбираем Remote Desktop Users/ — мы добавим созданного в шаге №1 пользователя в эту группу тем самым, дадим ему права на RDP подключение:

Дважды кликните на Remote Desktop Users и нажмите кнопку Add:

В поле Enter the object names to select начните вводить имя созданного ранее пользователя и нажмите Check Names:

Имя пользователя заполнится автоматически до нужного формата. Нажмите OK в двух местах чтобы завершить настройку:

Шаг 3. Проверяем пользователя

Отключитесь от учетной записи администратора и подключитесь под новым пользователем. Работает!

Обучайся в Merion Academy

Пройди курс по сетевым технологиям

Начать

Полезно?

Почему?

😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Windows server настройка прав администратора

Для доменного пользователя возможно дать права локального администратора на компьютере. Сделать это не сложно.

Заходим под доменным пользователем на компьютере, где мы будем давать права локального администратора.

Правой клавишей мыши на «Этот компьютер» и в появившемся меню выбираем «Управление»

Далее вводим логин и пароль администратора домена

В появившемся окне выбираем «Локальные пользователи», далее «Группы» и в меню справа выбираем «Администраторы».

Далее нажимаем «Добавить» и добавляем доменного пользователя.

Нажимаем «ОК» и перезагружаем компьютер для применения изменений. Таким образом мы добавляем доменного пользователя в локальные администраторы компьютера. Теперь он может делать на компьютере такие же действия, как и локальный администратор.

Что и как делать можно также посмотреть здесь:

Как получить права администратора в Windows.

В процессе установки операционной системы Windows система предлагает создать пользовательскую учетную запись (аккаунт), которому по умолчанию не доступны все привилегии и возможности. Делается это для безопасности, чтобы неопытный пользователь не мог вносить в систему каких-либо глобальных изменений, которые приведут к необратимым последствиям, поломке системы. Правда учетная запись с правами администратора все же создается, но только в скрытом режиме, и по умолчанию она не доступна.

Если вы все таки решили получить для своей учетной записи права администратора (причины могут быть самые разные), то давайте рассмотрим 5 способов как это сделать.

1. Самый простой способ

Открываем Панель управления → Учетные записи пользователей → Изменение типа своей учетной записи.

В следующем окне помечаем пункт «Администратор» и нажимаем «Изменение типа учетной записи».

2. С помощью командной строки

Открываем командную строку от имени администратора (например, с зажатой клавишей Shift нажимаем правую кнопку мыши на свободном месте рабочего стола, в контекстном меню выбираем «Открыть командную строку»). В командной строке вводим net user и нажимаем Enter. Откроется список учетных записей пользователей и системных учетных записей. Запоминаем точное название учетной записи, которой хотим предоставить права администратора. Вводим команду net localgroup Администраторы имя_пользователя /add и нажимаем клавишу Enter.

Затем вводим net localgroup Пользователи Имя_пользователя /delete , где вместо «Имя_пользователя» вводим название учетной записи, нажимаем Enter. Если имя пользователя состоит из нескольких слов, необходимо заключить его в кавычки.

Можно попробовать ввести такую команду: net user Администратор /active:yes .

3. С помощью утилиты «Локальные пользователи и группы»

Открываем диалоговое окно «Выполнить» (Win + R), вводим команду lusrmgr.msc и нажимаем «ОК». Открываем папку «Пользователи», дважды кликаем по учетной записи, для которой хотим получить права администратора.

В открывшемся окне на вкладке «Членство в группах» нажимаем «Дополнительно».

В следующем окне в поле имен выбираемых объектов пишем Администраторы и нажимаем «ОК».

В предыдущем окне, в списке групп, удаляем лишние, чтобы осталась только группа «Администраторы».

4. С помощью редактора реестра

Открываем редактор реестра (Win + R → regedit → «ОК»). Открываем ветку HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System . Выделив раздел System, справа находим следующие параметры и задаем им такие значения:

«FilterAdministratorToken»=dword:00000001 «EnableLUA»=dword:00000001 «ConsentPromptBehaviorAdmin»=dword:00000000

5. С помощью локальных групповых политик

Открываем «Редактор локальных групповых политик» (Win + R → gpedit.msc → «ОК»). Открываем ветку: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности . В правой части окна находим параметр « Учетные записи: Состояние учетной записи Администратор ».

Двойным щелчком левой кнопки мыши открываем этот параметр, задаем значение «Включен», нажимаем «Применить» и «ОК».