配置组策略以设置系统服务安全

您可以在 Windows 中实现系统服务的安全性。这使您能够控制由谁来管理工作站、成员服务器或域控制器上的各种服务。目前，更改系统服务的唯一方法是通过使用“组策略”计算机设置。

如果在“默认域策略”中实施“组策略”，则该策略将在域内的所有计算机上生效。如果在“默认域控制器策略”中实施“组策略”，该策略将只应用于域控制器的组织单元 (OU) 内的服务器。您可以创建 OU，使其包含将应用策略的工作站。本文描述的步骤旨在帮助您在 OU 内实施“组策略”，以更改对系统服务的权限。

指派系统服务权限的步骤

1.	启动 Active Directory 用户和计算机。
2.	右键单击要添加 OU 的域，单击新建，然后单击组织单元。
3.	为该 OU 设置一个适当的名称，然后单击确定。新 OU 即列于该域之下。
4.	右键单击新 OU，然后单击属性。
5.	OU 属性现在将显示出来。在组策略选项卡上，单击新建。为新的“组策略”取一个适当的名称（例如，将要实施该组策略的 OU 的名称）。
6.	创建该策略后，确保选中该策略，然后单击编辑。
7.	依次单击计算机配置、Windows 设置、安全设置、系统服务。
8.	双击要应用这些权限的服务。针对该服务的安全策略设置将显示出来。
9.	单击选中定义这个策略设置复选框。此操作将自动创建 Everyone 均具有“完全控制”权限的安全权限。
10.	单击删除以删除 Everyone 组。
11.	单击添加以添加 System 帐户以及要向其授予访问权限的其他用户帐户。
12.	将 System 帐户的权限设为“完全控制”，并为用户帐户或组设置相应的权限。默认情况下，所有新用户只会被授予启动、停止和暂停权限。
13.	向适当的用户和组添加对该服务的适当的权限之后，单击确定。
14.	该服务的启动模式默认设为“禁用”。请将该设置更改为正确的启动模式（通常为“自动”）。
15.	单击确定以关闭该策略，然后再次单击确定。

备注：您需要将计算机帐户移入要管理的 OU 中。计算机帐户移入 OU 之后，安全权限中的授权用户或组即可管理该服务。

参考

有关启动服务所需的必要权限的其他信息，请单击下面的文章编号，查看 Microsoft 知识库中相应的文章：

256299 (http://support.microsoft.com/kb/256299/EN-US/) 'Access Denied' Error When Starting a Service in Windows 2000（在 Windows 2000 中启动服务时出现“拒绝访问”的错误）

有关未应用的系统服务权限的其他信息，请单击下面的文章编号，查看 Microsoft 知识库中相应的文章：

257247 (http://support.microsoft.com/kb/257247/EN-US/) Policy Changing System Service Permissions Does Not Apply（更改系统服务权限的策略不能应用）

<iframe align="center" marginwidth="0" marginheight="0" src="http://www.zealware.com/csdnblog.html" frameborder="0" width="728" scrolling="no" height="90"></iframe>