關於系統服務、程序、共享資料夾管理的幾個方式
2008下可以使用組策略或安全模板來配置實現;2003下用微軟提供的subinacl工具實現,如:
subinacl.exe /service * /grant=test=TOP
賦與test使用者啟動、停止、暫停所有服務的權利。
注意,萬用字元“*”有時候不包括一些特殊服務,比如apche tomcat服務。這時需要先用系統自帶的sc命令獲取服務的真實名稱,再用subinacl配置許可權。比如:
sc getkeyname “apache tomcat 6”返回服務真實名稱是“tomcat6”;
subinacl.exe /service tomcat6 /grant=test=top 賦予test使用者啟動、停止、暫停tomcat6服務的權利。
另外管理程序細分許可權可以用process explorer這款工具,subinacl雖然也可以,但不如process explorer細緻。
還有,2003下如果要使一個普通user可以共享資料夾給其他人使用,則至少要把它加入power user組才行。power user組比users組多了一些許可權,再把多的許可權限制住就可以了。
附一篇轉載文章,稍作備註:
前言前幾天收到客戶的一個特別需求,有一臺伺服器的服務Service1需要授予以為普通的域使用者User1重啟服務的許可權,並且不希望該使用者擁有重啟該伺服器以為的其他管理許可權,如遠端登入伺服器、伺服器的管理員許可權等。在windows中可以對特定服務進行授權管理,方法大概有以下三種:
1) 使用組策略進行授權
2) 使用安全模板進行授權;
3) 使用工具Subinacl.exe進行授權。
以上3個方法中第三個不能在最新的windows 2008 R2中使用。下面詳細介紹以上三個方法的具體實現方式。
一、 使用組策略進行授權此方法適用於在域策略中使用,本地策略中不適用,也可在Windows 2008及R2的域中使用。在此不詳細介紹組策略的新建及應用。
1) 單擊“開始”,指向“管理工具”,然後單擊“組策略管理”;
2) 右擊“組策略物件”,然後單擊“新建”。鍵入新的組策略物件的名稱(例如,Service1服務授權),然後按 ENTER 鍵。
3) 單擊該新建的組策略物件(如果尚未選中),然後右擊“編輯”。
4) 展開“計算機配置”,展開“Windows 設定”,展開“安全設定”,然後單擊“系統服務”。
5) 在右窗格中,雙擊要對其應用許可權的服務(Service1)。
6) 單擊“定義這個策略設定”複選框,將其選中。
7) 單擊“編輯安全設定”。
8) 對所需的使用者帳戶和組授予適當的許可權,並且可以在“高階”中細分相關許可權,然後單擊“確定”。
9) 在“選擇服務啟動模式”中選擇“自動”,單擊“確定”。
10) 將新建的組策略連結到相關的OU中。
二、 使用安全模板進行授權此方法適合對單臺的伺服器或工作組下的伺服器授權,並且在Windows 2008或R2中使用。若要使用安全模板來更改系統服務的許可權,建立安全模板,操作步驟如下:
1) 單擊“開始”、 單擊“執行”,在“開啟”框中鍵入mmc,然後單擊“確定”。
2) 在“檔案”選單上單擊“新增/刪除管理單元”。
3) 單擊“新增”、 單擊“安全配置和分析”、 單擊“新增”,單擊“關閉”,然後單擊“確定”。
4) 在控制檯樹中右鍵單擊“安全配置和分析”,然後單擊“開啟資料庫”。
5) 指定名稱和為該的資料庫的位置(直接命名即可),然後單擊“開啟”。
6) 在“匯入模板”對話框出現,單擊要匯入的安全模板(該模板一樣通過“新增/刪除管理單元”中新增),然後單擊“開啟”。
7) 在控制檯樹中右鍵單擊“安全配置和分析”,然後單擊“立即分析計算機”。
8) 在“執行分析”對話框出現,接受顯示在“錯誤日誌檔案路徑”框中的日誌檔案的預設路徑或指定所需的位置,然後單擊“確定”。
9) 分析完成後請按以下方法配置服務許可權:
a) 在控制檯樹中單擊“系統服務”。
b) 在右窗格中雙擊服務想要更改其許可權。
c) 單擊以選中“在資料庫中定義這個策略”複選框,然後單擊“編輯安全”。
d) 若要配置新的使用者或組的許可權,單擊“新增”。在“選擇使用者、計算機,或組”對話方塊中鍵入的使用者或組為其設定許可權,所需的名稱,然後單擊“確定”。
e) 在“User or Group 的許可權”列表中配置為使用者或組所需的許可權。
f) 單擊“確定”兩次。
10) 要將新的安全設定應用到本地計算機中,用右鍵單擊“安全配置和分析”,然後單擊“立即配置計算機”。
三、 使用工具Subinacl.exe進行授權從下載並安裝Subinacl,預設安裝路徑為:C:\Program Files\Windows Resource Kits\Tools,Subinacl下載地址為:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=23510
Subinacl的命令語法為:
SUBINACL /SERVICE \\MachineName\ServiceName
/GRANT=[DomainName\]UserName[=Access]
- 執行此命令,使用者必須具有管理員許可權才能成功完成。
- 如果省略 MachineName,則假定為本地計算機。
- 如果省略 DomainName,在本地計算機帳戶的搜尋。
- 可以對組進行授權。
- Access 可以接受的值如下所示:
F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service
U : Service User-Defined Control Commands
如本文中提到的客戶需求(重啟服務)就可以通過以下命令完成。
cd “C:\Program Files\Windows Resource Kits\Tools”
SUBINACL /SERVICE \\MachineName\Service1 /GRANT=contoso\User1=TO